Lazarus Group, des hackers nord-coréens, a renforcé son malware KaolinRAT pour cibler des victimes avec de fausses offres d'emploi diffusées entre autres sur LinkedIn et WhatsApp.
Vous connaissez peut-être Lazarus, l'IDE open source, à ne pas confondre avec Lazarus Group, dont les motivations sont tout autres. Il s'agit en effet d'un gang de hackers en provenance de la Corée du Nord et à destination de potentielles victimes du monde entier.
Déjà bien connu des autorités pour son cyberbraquage en cryptos d'un montant de près de 550 millions de dollars en 2022, Lazarus Group avait fait du vol de crypto-monnaies sa signature.
Aujourd'hui, ce célèbre gang revient et recycle un de ses vieux malwares, KaolinRAT en le boostant pour contourner davantage de systèmes de sécurité. Sa cible ? Un petit nombre d'individus seulement, mais comme l'indique Luigino Camastra, chercheur en sécurité chez Avast, ce sont des personnes dont la formation professionnelle technique pourrait intéresser Lazarus. C'est la raison pour laquelle les hackers les appâtent avec une campagne de recrutement également déjà éprouvée par le passé. Fausse et vérolée, bien évidemment.
Le recyclage de fausses offres d'emploi diffusées sur LinkedIn et WhatsApp pour appâter les victimes
Lazarus Group semble adepte du recyclage. On imagine que la protection de l'environnement n'est pas sa préoccupation principale, mais qu'il veut plutôt attaquer avec une arme déjà testée et approuvée par le passé. Ainsi, son leurre, qui a déjà fait ses preuves sous le nom d'« Operation Dream Job » en 2022, consiste à attirer les victimes grâce à des offres d'emploi diffusées notamment sur LinkedIn, WhatsApp et par e-mail.
Après plusieurs échanges par messages afin d'établir une relation de confiance avec la victime, le hacker lui envoie un fichier ISO à exécuter, contenant soi-disant une évaluation Amazon, « Amazon VMC.exe ». Il lui explique que cela fait partie du processus de recrutement pour le géant du e-commerce.
Il suffit d'un double-clic de la victime pour lancer la chaîne d'attaque redoutable de KaolinRAT, que Lazarus a pris soin d'upgrader pour contourner un maximum de barrages de sécurité.
Une technique ultra-sophistiquée qui « frise l'exagération » pour injecter le malware
C'est alors un processus de haute voltige que va exécuter Lazarus Group qui, de l'aveu même de Luigino Camastra, « frise l'exagération ». En effet, deux fichiers, « version.dll » et « aws.cfg », sont utilisés pour démarrer un processus d'infection sur un ordinateur. Souvenez-vous d'« AmazonVNC.exe » exécuté par la victime. Il utilise « version.dll » pour démarrer un autre processus, « iexpress.exe », qui reçoit une sorte de code malveillant depuis « aws.cfg ».
Ce code malveillant est conçu pour télécharger plus de code malveillant depuis un site web contrôlé par les attaquants (« henraux[.]com »). Celui-ci est soupçonné d'être un site web légitime qui a été piraté.
Le code téléchargé est utilisé pour lancer un autre programme malveillant appelé RollFling, qui a pour but de récupérer et de lancer un autre malware appelé RollSling. Ce dernier a été révélé par Microsoft l'année dernière et est lié à une campagne malveillante exploitant une faille de sécurité dans un logiciel appelé JetBrains TeamCity.
RollSling est exécuté directement dans la mémoire de l'ordinateur, probablement pour éviter d'être détecté par les logiciels de sécurité. Il déclenche l'exécution d'un troisième programme malveillant appelé RollMid, qui s'exécute également dans la mémoire de l'ordinateur.
RollMid a plusieurs fonctions, dont la préparation de l'ordinateur pour une attaque et l'établissement d'une connexion avec un serveur contrôlé par les attaquants. Il suit un processus en trois étapes pour cela.
Premièrement, il communique avec le premier serveur pour récupérer un fichier HTML contenant l'adresse du deuxième serveur. Puis il communique avec le deuxième serveur pour récupérer une image PNG contenant un autre composant malveillant, caché à l'aide d'une technique appelée stéganographie. Ensuite, il envoie les données au troisième serveur en utilisant l'adresse spécifiée dans les données cachées dans l'image.
Enfin, il récupère un autre ensemble de données codées en Base64 depuis le troisième serveur, qui est un autre malware appelé KaolinRAT. Ce dernier prépare le terrain pour le déploiement d'un autre malware appelé FudModule.
On se demande pourquoi tant d'ingéniosité et d'étapes sont déployées pour diffuser un malware. Peut-être Lazarus Group cherche-t-il à recruter des cadors du cyberpiratage dans ses écuries, par le biais de cette attaque, que les victimes sauraient déjouer et retourner à leur propre avantage, qui sait ?
Source : Decoded Avast