Une nouvelle campagne de collecte de renseignements liée au prolifique groupe Lazarus, parrainé par l’État nord-coréen, a exploité les failles de sécurité connues des appareils Zimbra non corrigés pour compromettre les systèmes des victimes.
C’est selon la société finlandaise de cybersécurité WithSecure (anciennement F-Secure), qui a nommé l’incident No Pineapple en référence à un message d’erreur utilisé dans l’une des portes dérobées.
Les cibles de l’opération malveillante comprenaient une organisation de recherche en soins de santé en Inde, le département de génie chimique d’une université de recherche de premier plan, ainsi qu’un fabricant de technologie utilisée dans les secteurs de l’énergie, de la recherche, de la défense et de la santé, suggérant une tentative de rupture de l’approvisionnement. chaîne.
On estime qu’environ 100 Go de données ont été exportées par l’équipe de piratage suite à la compromission d’un client anonyme, l’effraction numérique ayant probablement lieu au troisième trimestre de 2022.
« L’acteur menaçant a eu accès au réseau en exploitant un serveur de messagerie Zimbra vulnérable à la fin du mois d’août », a déclaré WithSecure dans un rapport technique détaillé partagé avec breachtrace.
Les failles de sécurité utilisées pour l’accès initial sont CVE-2022-27925 et CVE-2022-37042, qui pourraient toutes deux être exploitées pour obtenir l’exécution de code à distance sur le serveur sous-jacent.
Cette étape a été suivie par l’installation de shells Web et l’exploitation de la vulnérabilité d’escalade de privilèges locale dans le serveur Zimbra (c’est-à-dire, Pwnkit alias CVE-2021-4034), permettant ainsi à l’acteur de la menace de récolter des données de boîte aux lettres sensibles.
Par la suite, en octobre 2022, l’adversaire aurait effectué des mouvements latéraux, des reconnaissances et finalement déployé des portes dérobées telles que Dtrack et une version mise à jour de GREASE.
GREASE, qui a été attribué comme l’œuvre d’un autre cluster de menaces affilié à la Corée du Nord appelé Kimsuky, est doté de capacités permettant de créer de nouveaux comptes d’administrateur avec des privilèges de protocole de bureau à distance (RDP) tout en contournant les règles de pare-feu.
Dtrack, d’autre part, a été employé dans des cyberattaques visant une variété de secteurs verticaux de l’industrie, ainsi que dans des attaques à motivation financière impliquant l’utilisation du rançongiciel Maui.
« Début novembre, des balises Cobalt Strike [command-and-control] ont été détectées depuis un serveur interne vers deux adresses IP d’acteurs menaçants », ont souligné les chercheurs Sami Ruohonen et Stephen Robinson, ajoutant que l’exfiltration de données s’est produite à partir du 5 novembre 2022. , jusqu’au 11 novembre 2022.
Des outils tels que Plink et 3Proxy ont également été utilisés dans l’intrusion pour créer un proxy sur le système victime, faisant écho aux conclusions précédentes de Cisco Talos sur les attaques du groupe Lazarus ciblant les fournisseurs d’énergie.
Les groupes de piratage soutenus par la Corée du Nord ont eu une année 2022 chargée, menant une série de cambriolages à la fois axés sur l’espionnage et la crypto-monnaie qui s’alignent sur les priorités stratégiques du régime.
Plus récemment, le cluster BlueNoroff, également connu sous les noms APT38, Copernicium, Stardust Chollima et TA444, a été connecté à de vastes attaques de collecte d’informations d’identification visant les secteurs de l’éducation, de la finance, du gouvernement et de la santé.