Le groupe de hackers nord-coréen Lazarus utilise un malware avancé pour de nouvelles escroqueries à l'emploi

Le groupe Lazarus, un collectif de hackers nord-coréen, a utilisé une nouvelle variante de malware très sophistiquée connue sous le nom de LightlessCan dans ses programmes d'emploi frauduleux, ce qui pose un défi de détection important par rapport à son prédécesseur.
Peter Kálnai, chercheur senior en logiciels malveillants chez ESET, a révélé ces résultats dans un article publié le 29 septembre, suite à l'analyse d'une attaque de faux emplois ciblant une entreprise aérospatiale espagnole.
Le modus operandi typique du groupe Lazarus consiste à attirer les victimes avec des offres d’emploi alléchantes dans des entreprises réputées et à les inciter à télécharger des charges utiles malveillantes déguisées en documents.
LightlessCan représente toutefois une avancée notable par rapport à son prédécesseur, BlindingCan. Kálnai a expliqué que LightlessCan peut imiter diverses commandes Windows natives, permettant une exécution discrète au sein même du cheval de Troie d'accès à distance (RAT), minimisant ainsi les exécutions bruyantes de la console.
Cette furtivité améliorée rend la détection difficile pour les solutions de surveillance en temps réel telles que les EDR et les outils d'investigation numérique post-mortem.
EN SAVOIR PLUS : Paradigm, une société de capital-risque, critique l’approche non conventionnelle de la SEC dans l’affaire Binance
De plus, le nouveau malware intègre des « garde-fous d’exécution » pour garantir que seule la machine de la victime visée peut décrypter la charge utile, empêchant ainsi tout décryptage involontaire par les chercheurs en sécurité.
Un cas connu impliquant ce nouveau malware a ciblé une entreprise aérospatiale espagnole lorsqu'un employé a reçu un message d'un faux recruteur de Meta nommé Steve Dawson en 2022. Par la suite, les pirates ont envoyé deux défis de codage intégrés au malware.
Le principal motif de l’attaque du groupe Lazarus contre l’entreprise aérospatiale espagnole était le cyberespionnage.
Les pirates informatiques nord-coréens sont notamment responsables du vol d'environ 3,5 milliards de dollars de projets de cryptomonnaie depuis 2016, comme l'a rapporté la société d'analyse de blockchain Chainalysis le 14 septembre.
En septembre 2022, la société de cybersécurité SentinelOne a émis un avertissement concernant une arnaque à l'emploi sur LinkedIn, dans le cadre d'une campagne connue sous le nom d'« Operation Dream Job », offrant aux victimes potentielles des postes sur Crypto.com.
Parallèlement, les Nations Unies travaillent activement à freiner les tactiques de cybercriminalité de la Corée du Nord à l’échelle internationale, car on pense que les fonds volés sont utilisés pour soutenir le programme de missiles nucléaires de la Corée du Nord.
Cet effort continu souligne l’impact mondial et les conséquences des cyberattaques orchestrées par des groupes comme Lazarus.
Autres histoires :
La SEC retarde sa décision sur les propositions d'ETF Bitcoin Spot en raison de la fermeture imminente du gouvernement
La société de capital-risque Paradigm critique l’approche non conventionnelle de la SEC dans l’affaire Binance
Space and Time intègre son vérificateur de preuve SQL dans les nœuds Chainlink