Lors d’une récente campagne d’espionnage, le tristement célèbre groupe de menaces nord-coréen Lazarus a ciblé plusieurs organisations des secteurs des logiciels, de l’informatique, de la finance et des télécommunications en Corée du Sud.
L’auteur de la menace a combiné une stratégie d’attaque de point d’eau avec un exploit pour une vulnérabilité dans un client de transfert de fichiers qui est nécessaire en Corée du Sud pour effectuer certaines tâches financières et administratives.
Les chercheurs de Kaspersky ont nommé la campagne « Operation Sync Hole » et affirment que l’activité a compromis au moins une demi-douzaine d’organisations entre novembre 2024 et février 2025.
“Nous avons identifié au moins six organisations de logiciels, informatiques, financières, de fabrication de semi-conducteurs et de télécommunications en Corée du Sud qui ont été victimes de” l’opération SyncHole », note Kasperky dans un rapport.
« Cependant, nous sommes convaincus qu’il y a beaucoup plus d’organisations touchées dans un plus large éventail d’industries, étant donné la popularité du logiciel exploité par Lazarus dans cette campagne”, ont ajouté les chercheurs.
Selon Kaspersky, les pirates de Lazarus ont utilisé un exploit connu du fournisseur au moment de l’enquête, mais il avait déjà été exploité dans d’autres attaques.
Sélection de la cible
L’attaque a commencé avec des cibles visitant des portails médiatiques sud-coréens légitimes que Lazarus avait compromis avec des scripts côté serveur pour profiler les visiteurs et rediriger des cibles valides vers des domaines malveillants.
Dans les incidents analysés par Kaspersky, les victimes sont redirigées vers des sites qui imitent les fournisseurs de logiciels, tels que le distributeur de Cross EX – un outil qui permet aux Sud-Coréens d’utiliser des logiciels de sécurité dans divers navigateurs Web pour les opérations bancaires en ligne et les interactions avec les sites Web du gouvernement.
” Bien que la méthode exacte par laquelle Cross EX a été exploitée pour diffuser des logiciels malveillants reste incertaine, nous pensons que les attaquants ont augmenté leurs privilèges pendant le processus d’exploitation, car nous avons confirmé que le processus était exécuté avec un niveau d’intégrité élevé dans la plupart des cas », a expliqué Kaspersky.
Les chercheurs disent qu’un JavaScript malveillant sur le faux site Web exploite le logiciel Cross EX pour diffuser des logiciels malveillants.
Bien que Kaspersky n’ait pas trouvé la méthode d’exploitation exacte utilisée, les chercheurs « pensent que les attaquants ont augmenté leurs privilèges pendant le processus d’exploitation. »
De plus, « selon un récent avis de sécurité publié sur le site Web de KrCERT, il semble y avoir des vulnérabilités récemment corrigées dans Cross EX, qui ont été corrigées pendant la période de nos recherches », note le rapport de Kaspersky.
L’exploit lance la synchronisation légitime.exe ‘traite et injecte du shellcode dedans pour charger la porte dérobée ‘ThreatNeedle’, qui peut exécuter 37 commandes sur l’hôte infecté.
Kaspersky a observé plusieurs chaînes d’infection parmi les six victimes confirmées, qui diffèrent dans les phases antérieures et ultérieures de l’attaque, seule l’infection initiale étant le terrain d’entente.
Dans la première phase, ThreatNeedle a été utilisé pour déployer ‘LPEClient « pour le profilage du système, les téléchargeurs de logiciels malveillants « wAgent » ou « Agamemnon » et l’outil « Innorix Abuser » pour les mouvements latéraux.
Kaspersky note qu’Innorix a abusé d’une vulnérabilité dans la solution de transfert de fichiers de l’Agent Innorix version 9.2.18.496 et corrigée dans la dernière version du logiciel.
Dans certains cas, ThreatNeedle n’était pas du tout utilisé, Lazarus utilisant à la place l’implant « SIGNBT » pour déployer la porte dérobée « Copperhedge » utilisée pour la reconnaissance interne.
Sur la base des outils utilisés dans les attaques de l’Opération SyncHole, Kaspersky a pu attribuer en toute confiance les compromis au groupe de pirates informatiques Lazarus soutenu par le gouvernement nord-coréen.
Des indices supplémentaires pointant vers l’auteur de la menace étaient les heures de travail/fuseau horaire apparent ainsi que les techniques, tactiques et procédures (TTP) spécifiques à Lazarus.
Sur la base des récents échantillons de logiciels malveillants utilisés dans Operation SyncHole, Kaspersky a observé que Lazarus évolue vers des outils légers et modulaires à la fois plus furtifs et plus configurables.
La firme de cybersécurité a déclaré avoir communiqué ses conclusions à l’Agence coréenne de sécurité Internet (KrCERT / CC)et confirmé que des correctifs avaient été publiés pour le logiciel exploité dans cette campagne.
Au cours de l’analyse de l’attaque, les chercheurs de Kaspersky ont également découvert une faille zero-day non exploitée (KVE-2024-0014) dans les versions 9.2.18.001 à 9.2.18.538 de l’agent Innorix, qui permettait des téléchargements de fichiers arbitraires.
Les chercheurs ont signalé le problème de sécurité de manière responsable par l’intermédiaire de la Korea Internet & Security Agency (KrCERT) et le fournisseur l’a résolu dans une mise à jour le mois dernier.