Les chercheurs d’ESET ont découvert une attaque Lazarus contre une entreprise aérospatiale en Espagne, où le groupe a déployé plusieurs outils, notamment une porte dérobée non documentée publiquement que nous avons nommée LightlessCan. Les opérateurs de Lazarus ont obtenu un accès initial au réseau de l’entreprise l’année dernière après une campagne de spearphishing réussie, se faisant passer pour un recruteur de Meta – la société à l’origine de Facebook, Instagram et WhatsApp.
Le faux recruteur a contacté la victime via LinkedIn Messaging, une fonctionnalité de la plateforme de réseau social professionnel LinkedIn, et lui a envoyé deux défis de codage requis dans le cadre d’un processus d’embauche, que la victime a téléchargés et exécutés sur un appareil de l’entreprise. Le premier défi est un projet très basique qui affiche le texte « Hello, World ! », le second imprime une séquence de Fibonacci – une série de nombres dans laquelle chaque nombre est la somme des deux précédents. ESET Research a pu reconstituer les étapes d’accès initiales et analyser l’ensemble des outils utilisés par Lazarus grâce à une coopération avec l’entreprise aérospatiale concernée.
Lazarus a transmis diverses charges utiles aux systèmes des victimes, la plus remarquable étant un cheval de Troie d’accès à distance (RAT) sophistiqué et non documenté publiquement, que nous avons baptisé LightlessCan et qui représente une avancée significative par rapport à son prédécesseur, BlindingCan. LightlessCan imite les fonctionnalités d’une large gamme de commandes Windows natives, ce qui permet une exécution discrète au sein du RAT lui-même au lieu d’exécutions bruyantes sur la console. Ce changement stratégique renforce la furtivité, ce qui complique la détection et l’analyse des activités de l’attaquant.
azarus s’est assuré que la charge utile ne pouvait être décryptée que sur l’ordinateur de la victime visée. Les garde-fous d’exécution sont un ensemble de protocoles et de mécanismes de protection mis en œuvre pour sauvegarder l’intégrité et la confidentialité de la charge utile lors de son déploiement et de son exécution, empêchant ainsi tout décryptage non autorisé sur des machines non prévues, telles que celles des chercheurs en sécurité.
