Le groupe Lazarus a été repéré en train d'exploiter des failles de sécurité dans un logiciel pour accéder à une société financière sud-coréenne à deux reprises l'année dernière. Le groupe lié à la Corée du Nord s'est infiltré dans l'entreprise concernée en mai 2022 et à nouveau en octobre grâce à la vulnérabilité zero day du même logiciel, selon une note de la société Asec (AhnLab Security Emergency Response Center). Cette dernière a signalé le logiciel en question à l'Agence coréenne pour l'Internet et la sécurité, car la vulnérabilité n'a pas encore été entièrement vérifiée et aucun correctif n'a été publié. Le rapport ne mentionne donc pas le nom du logiciel concerné.

Lors de l'infiltration en mai 2022, la société financière concernée utilisait une version vulnérable d'un programme de certificats couramment utilisé par les institutions publiques et les universités. Après l'incident, la société a mis à jour tous ses logiciels avec les versions les plus récentes. Cependant, le groupe Lazarus a utilisé la vulnérabilité zero day du même logiciel pour réaliser son infiltration la seconde fois, a indiqué l'Asec dans sa recherche.

Attaque Byovd

Pour désactiver les produits de sécurité sur les machines infectées et exploiter les modules vulnérables du noyau du logiciel, le groupe Lazarus a utilisé la technique Byovd (Bring Your Own Vulnerable Driver). Dans les attaques Byovd, les cybercriminels se servent de pilotes légitimement signés, mais vulnérables, pour effectuer des actions malveillantes sur les systèmes. L'attaquant peut utiliser les failles des drivers pour exécuter des actions malveillantes avec des privilèges au niveau du noyau. La brèche de type "zero day" exploitée par les auteurs de la menace concernait un logiciel de certificat couramment utilisé en Corée. "Comme ces types de logiciels ne sont pas mis à jour automatiquement, ils doivent être corrigés manuellement avec la dernière version ou supprimés s'ils ne sont pas utilisés", explique l'Asec dans son étude.

Pour mieux dissimuler les activités malveillantes, le groupe Lazarus a soit modifié les noms des fichiers avant de les supprimer, soit modifié les horodatages à l'aide d'une technique anti-forensic, indique l'Asec dans sa recherche. L'attaque a abouti à l'installation de plusieurs portes dérobées dans les systèmes infectés, qui se sont connectées à des serveurs de commande et de contrôle à distance et ont récupéré des binaires supplémentaires qui ont pu être exécutés. "Au lieu de prendre uniquement des mesures post-attaque, une surveillance continue est nécessaire pour éviter les récidives", a déclaré l'Asec dans son étude. 

Les activités de Lazarus pilotées par Pyongyang 

Le groupe Lazarus, actif depuis 2009, est un groupe de menace parrainé par l'État nord-coréen et attribué au Bureau général de reconnaissance, l'agence de renseignement de la Corée du Nord. Parmi les attaques les plus notables du groupe, on peut citer celle de 2014 contre Sony Pictures Entertainment, au cours de laquelle le groupe a déployé un "wiper" pour supprimer des données sensibles de l'entreprise. En 2016, le groupe a volé des millions de dollars à la banque centrale du Bangladesh. Ces derniers temps, les cyberpirates ont également ciblé le secteur des crypto-monnaies. En début de semaine, le FBI a confirmé que le groupe Lazarus était responsable du vol de la monnaie Harmony Horizon Bridge. Cette dernière avait signalé le vol de 100 millions de dollars en monnaie virtuelle en juin 2022 

Le groupe, qui est suivi par plusieurs chercheurs en sécurité, a mis à jour plusieurs tactiques, techniques et procédures et introduit des charges utiles supplémentaires. Le mois dernier, une charge utile du téléchargeur Wslink nommée WinorDLL64 a été attribuée au groupe Lazarus par les chercheurs d'Eset. Cette charge utile peut être utilisée pour manipuler des fichiers, exécuter d'autres codes et obtenir de nombreuses informations sur le système sous-jacent qui peuvent être exploitées ultérieurement pour un mouvement latéral. Le groupe est également connu pour avoir ciblé plusieurs entreprises coréennes liées à la défense nationale, aux satellites, aux logiciels et à la presse au cours des deux dernières années, selon l'Asec. "Le groupe Lazarus étudie les vulnérabilités de divers autres logiciels et modifie constamment ses TTP en changeant la façon dont il désactive les produits de sécurité et met en œuvre des techniques anti-forensic pour interférer ou retarder la détection et l'analyse afin d'infiltrer les institutions et les entreprises coréennes", indique le rapport de l'Asec.