08 mars 2023Ravie LakshmananAttaque Zero-Day / BYOVD

Hackers Nord-Coréens

La Corée du Nord liée Groupe Lazare a été observé militarisant des failles dans un logiciel non divulgué pour violer une entité commerciale financière en Corée du Sud deux fois en l’espace d’un an.

Alors que la première attaque de mai 2022 impliquait l’utilisation d’une version vulnérable d’un logiciel de certificat largement utilisé par les institutions publiques et les universités, la réinfiltration d’octobre 2022 impliquait l’exploitation d’un zero-day dans le même programme.

Société de cybersécurité AhnLab Security Emergency Response Center (ASEC) a dit il s’abstient de mentionner le logiciel car « la vulnérabilité n’a pas encore été entièrement vérifiée et aucun correctif logiciel n’a été publié ».

Le collectif contradictoire, après avoir pris pied par une méthode inconnue, a abusé du bogue du jour zéro pour effectuer un mouvement latéral, peu de temps après, le moteur anti-malware AhnLab V3 a été désactivé via une attaque BYOVD.

Publicité

Il convient de noter ici que la technique Bring Your Own Vulnerable Driver, alias BYOVD, a été utilisée à plusieurs reprises par le groupe Lazarus ces derniers mois, comme l’ont documenté à la fois ESET et AhnLab dans une série de rapports à la fin de l’année dernière.

Vulnérabilité Zero-Day

Parmi les autres étapes pour dissimuler son comportement malveillant, citons la modification des noms de fichiers avant de les supprimer et la modification des horodatages à l’aide d’une technique anti-légale appelée horodatage.

L’attaque a finalement ouvert la voie à plusieurs charges utiles de porte dérobée (Keys.dat et Settings.vwx) conçues pour se connecter à un serveur de commande et de contrôle (C2) distant, récupérer des fichiers binaires supplémentaires et les exécuter sans fichier.

Découvrez les dernières tactiques d’évasion et stratégies de prévention des logiciels malveillants

Prêt à briser les 9 mythes les plus dangereux sur les attaques basées sur des fichiers ? Rejoignez notre prochain webinaire et devenez un héros dans la lutte contre les infections du patient zéro et les événements de sécurité du jour zéro !

RÉSERVEZ VOTRE PLACE

Le développement intervient une semaine après qu’ESET a fait la lumière sur un nouvel implant appelé WinorDLL64 qui est déployé par l’acteur de la menace notoire au moyen d’un chargeur de logiciels malveillants nommé Wslink.

« Le groupe Lazarus recherche les vulnérabilités de divers autres logiciels et modifie constamment ses TTP en modifiant la façon dont il désactive les produits de sécurité et applique des techniques anti-légales pour interférer ou retarder la détection et l’analyse afin d’infiltrer les institutions et les entreprises coréennes », dit l’ASEC.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentVérifiez comment télécharger PUBG Mobile sans VPN, SUIVEZ LES ÉTAPES
Article suivantHilary Duff révèle comment le flashback de « Lizzie McGuire » est né (exclusif)
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici