Le prolifique et rapace groupe APT nord-coréen Lazarus mène une campagne en cours ciblant les investisseurs en crypto-monnaie, les échanges, les sociétés commerciales et les organisations de blockchain pour accéder à des clés précieuses et à d’autres informations, installer des logiciels malveillants et voler des fonds et d’autres données.
La campagne utilise un certain nombre de tactiques, notamment le spear phishing, l’ingénierie sociale et l’installation d’un nouvel ensemble d’applications malveillantes appelées TraderTraitor qui volent des données système, installent un cheval de Troie d’accès à distance et effectuent d’autres activités malveillantes. La Cybersecurity and Infrastructure Security Agency, le FBI et le Département du Trésor ont publié mardi un nouvel avis sur la campagne du groupe Lazarus et ont averti que le groupe utilisait des applications de crypto-monnaie modifiées avec la porte dérobée AppleJeus pour prendre pied sur les machines cibles.
« Le groupe Lazarus a utilisé des applications de crypto-monnaie AppleJeus trojanisées ciblant des particuliers et des entreprises, y compris des bourses de crypto-monnaie et des sociétés de services financiers, par la diffusion d’applications de trading de crypto-monnaie qui ont été modifiées pour inclure des logiciels malveillants qui facilitent le vol de crypto-monnaie », indique l’avis.
« Les intrusions commencent par un grand nombre de messages de harponnage envoyés aux employés des sociétés de crypto-monnaie – travaillant souvent dans l’administration système ou le développement de logiciels/opérations informatiques (DevOps) – sur une variété de plates-formes de communication. Les messages imitent souvent un effort de recrutement et proposent des emplois bien rémunérés pour inciter les destinataires à télécharger des applications de crypto-monnaie contenant des logiciels malveillants.
Le groupe Lazarus est l’un des groupes APT les plus agressifs et les plus actifs et a été associé à des vols importants de crypto-monnaie et d’autres fonds au cours des dernières années. Le groupe est associé au gouvernement nord-coréen et au gouvernement américain et les équipes de recherche en sécurité enquêtent et exposent les logiciels malveillants, les techniques et les tactiques du groupe Lazarus depuis de nombreuses années. La CISA a dévoilé les détails de l’arsenal de logiciels malveillants du groupe dans le passé et la semaine dernière, le Département d’État a annoncé une récompense pouvant atteindre 5 millions de dollars pour les informations qui contribuent à perturber les opérations de blanchiment d’argent utilisées pour soutenir les cyberactivités malveillantes des acteurs nord-coréens. Les responsables américains ont également lié le groupe Lazarus et APT38, un autre groupe parrainé par l’État nord-coréen, à un braquage massif de crypto-monnaie le mois dernier.
« Grâce à notre enquête, nous avons pu confirmer que Lazarus Group et APT38, des cyberacteurs associés à la RPDC, sont responsables du vol de 620 millions de dollars à Ethereum signalé le 29 mars », a déclaré le FBI dans un communiqué la semaine dernière. « Le FBI, en coordination avec le Trésor et d’autres partenaires du gouvernement américain, continuera d’exposer et de combattre l’utilisation par la RPDC d’activités illicites – y compris la cybercriminalité et le vol de crypto-monnaie – pour générer des revenus pour le régime ».
La récente campagne TraderTraitor utilise plusieurs outils malveillants, dont plusieurs logiciels malveillants ciblant macOS qui ont été signés avec des certificats de développeur Apple. Tous ces certificats associés ont été révoqués. Il existe également plusieurs outils basés sur Windows utilisés dans les attaques, dont l’un se fait passer pour un outil de tarification et de prédiction de crypto-monnaie. L’avis de la CISA avertit qu’il est peu probable que l’activité axée sur la cryptographie du groupe Lazarus diminue de sitôt.
« Depuis avril 2022, les acteurs nord-coréens du groupe Lazarus ont ciblé diverses entreprises, entités et bourses du secteur de la blockchain et de la crypto-monnaie en utilisant des campagnes de harponnage et des logiciels malveillants pour voler la crypto-monnaie. Ces acteurs continueront probablement d’exploiter les vulnérabilités des entreprises de technologie de crypto-monnaie, des sociétés de jeux et des échanges pour générer et blanchir des fonds pour soutenir le régime nord-coréen », indique l’avis.