Actualités

Lazarus : coup compte-triple pour les cyber-attaquants qui appâtent via des offres d’embauches des candidats pour Airbus, General Motors et Rheinmetall !

Le groupe Lazarus continuent de jouer des mauvais tours : des chercheurs sécuritaires d’Alien Labs (AT&T) viennent de mettre le doigt sur une attaque par ingénierie sociale sur Twitter. Remontant, au moins, à Mai et Juin 2021, elle diffusait des documents pour des offres d’embauches pour Rheinmetall, General Motors et Airbus…

 

 

Les documents tentaient de se faire passer pour de nouveaux entrepreneurs de défense et sociétés d’ingénierie comme Airbus, General Motors (GM) et Rheinmetall. Tous ces documents contiennent des macro malware, qui ont été développés et améliorés au cours de cette campagne et d’une cible à l’autre. Les techniques de base pour les trois documents malveillants sont les mêmes, mais les attaquants ont tenté de réduire les détections potentielles et d’augmenter les facultés des macros“, indique le billet sécuritaire relatif, le 6 Juillet 2021.

Condensé, par société ciblée :

 

Rheinmetall General MotorsAirbus
Viralité reposant sur deux documents propagés depuis Mai 2021 (dont un recelant la macro-commande)Viralité reposant sur un document propagé “quelques semaines” après les observations de l’exploit RheinmetallViralité reposant sur un document propagé “après le constat du premier document de cette campagne“. Observation pour Airbus depuis début Juin 2021

Macro-commande reposant sur des fichiers base64 (codage) : extraction et décodage pour exécution. “L’une des caractéristiques les plus distinctives de cette macro est la façon dont elle échappe aux détections d’un en-tête MZ codé en base64 (TVoA, TVpB, TVpQ, TVqA, TVqQ ou TVro), en séparant les deux premiers caractères du reste du contenu

Exécution du code : accès direct à l’étape du command-and-control (C2). Actualisation de la viralité en temp réel avec des statuts (1 à 3) pour le terminal ainsi ciblé en connectivité Beacon. Fonctions possibles :

  • Charge utile (installée et opérationnelle avec la communication-serveur) : renommage et décodage (lors de la duplication) ;

 

  • Téléchargement : création dossier C:\Drivers (.INF) ;

 

  • Suivi temps réel de l’exécutable (succès, échec) en Beacon ;

 

  • Exploit actif : téléchargement du faux document.
Macro-commande reposant sur des fichiers base64 (codage) :extraction et décodage pour exécution. Teneur :

  • Fichier.tmp (premier) devient fichier.ink (après décodage). Exécution sous Internet Explorer ;

 

  • Fichier.tmp (second) jointé (concaténé) avec un troisième fichiers et originaire de la charge utile.
Destination-extraction : C:\Drivers (nouveau dossier) pour ne pas éveiller les soupçonsDestination-extraction : C:\Drivers (nouveau dossier) pour ne pas éveiller les soupçons (.INF)Destination-extraction : C:\Drivers (nouveau dossier) pour ne pas éveiller les soupçons
Certutil.exe (décodage des fichiers) : duplication et renommage de l’exécutable originel pour ne pas éveiller les soupçons (points de terminaison EDR + signatures-vérifications).Certutil.exe (décodage des fichiers) : duplication et renommage de l’exécutable originel pour ne pas éveiller les soupçons (points de terminaison EDR + signatures-vérifications).

Variation “mineure” via l’usage d’une astérisque supplémentaire (%systemroot%\system32\*ertut*.exe)

Variation, également, au niveau du nommage des fichiers de destination avec des fichiers épinglés (haut de liste) pour leurrer le système : il s’agit de fichiers légitimes, suivis des vrais fichiers malveillants

Fichiers codés supprimés, une fois le décodage opéré (donc)

WMI : injection de la charge utile (malveillante) vers l’ensemble des processus explorer.exe, via Mavinject (détourné)

Allgraphicart(.)com : injection du domaine (désormais non-plus malveillant) au sein du document en tant que charge utile.

Mavinject est remplacé par Explorer.exe directement.

Serveur hébergé sur shopwelive(.)com avec “le même modèle et les mêmes caractéristiques” que pour General Motors

Une fois la charge utile injectée : propagation d’un downloader (téléchargeur) pour communication-serveur de type command-and-control (C2). Destination vers un nouveau fichier ou dossier sous requête HTTPS (codage en dur)

Une fois la charge utile injectée : au bout de trois secondes, création de fichier.inf (même dossier). Communication-serveur command-and-control (C2) (succès ou échec) + suppression ou nettoyage des fichiers temporaires.

 

Il est souligné que les techniques exploitées reposent sur des modèles similaires à de précédentes cyber-attaques de Lazarus, en utilisant des documents bureautiques type  Microsoft Office pour mieux instiller les fameuses macro-commandes… A veiller !

 

 

 

Source : blog Alien Labs (AT&T) – 6 Juillet 2021 – Lazarus : campagne par ingénierie sociale visant, au moins, trois entreprises industrielles-aéronautiques.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0