Le groupe de pirates informatiques soutenu par l’État nord-coréen et suivi sous le nom de Lazarus a exploité une vulnérabilité critique (CVE-2022-47966) dans ManageEngine ServiceDesk de Zoho pour compromettre un fournisseur d’infrastructure de base Internet et des organisations de soins de santé.
Les campagnes ont débuté au début de cette année et visaient à pirater des entités aux États-Unis et au Royaume-Uni afin de déployer le logiciel malveillant QuiteRAT et un cheval de Troie d’accès à distance (RAT) récemment découvert que les chercheurs appellent CollectionRAT.
CollectionRAT a été découvert après que les chercheurs ont analysé l’infrastructure utilisée pour les campagnes, que l’acteur malveillant avait également utilisée pour d’autres attaques.
Attaques contre des sociétés Internet
Les chercheurs de Cisco Talos ont observé des attaques contre des sociétés Internet britanniques début 2023, lorsque Lazarus a exploité un exploit pour CVE-2022-47966, une faille d’exécution de code à distance de pré-authentification affectant plusieurs produits Zoho ManageEngine.
« Début 2023, nous avons observé que le groupe Lazarus a réussi à compromettre un fournisseur d’infrastructure de base Internet au Royaume-Uni pour déployer avec succès QuiteRAT. Les acteurs ont exploité une instance vulnérable de ManageEngine ServiceDesk pour obtenir un accès initial », Cisco Talos
Les analystes rapportent que Lazarus a commencé à utiliser l’exploit il y a seulement cinq jours qu’il est devenu public. Plusieurs pirates ont exploité cet exploit lors d’attaques, comme l’ont observé Rapid7, Shadowserver et GreyNoise, ce qui a incité CISA à émettre un avertissement aux organisations.
Après avoir exploité la vulnérabilité pour violer une cible, les pirates de Lazarus ont supprimé le malware QuiteRAT depuis une URL externe à l’aide d’une commande curl.
QuiteRAT, découvert en février 2023, est décrit comme un cheval de Troie d’accès à distance simple mais puissant qui semble être une avancée par rapport au plus connu MagicRAT que Lazarus a utilisé au second semestre 2022 pour cibler les fournisseurs d’énergie aux États-Unis, au Canada et au Japon. .
Les chercheurs affirment que le code de QuiteRAT est plus simple que celui de MagicRAT et que la sélection minutieuse des bibliothèques Qt a réduit sa taille de 18 Mo à 4 Mo tout en conservant le même ensemble de fonctions.
Nouveau malware Lazarus
Dans un rapport distinct publié aujourd’hui, Cisco Talos a déclaré que les pirates informatiques de Lazarus disposaient d’un nouveau malware appelé CollectionRAT. La nouvelle menace a été découverte après que les chercheurs ont examiné l’infrastructure utilisée par l’acteur dans d’autres attaques.
Les chercheurs affirment que CollectionRAT semble lié à la famille « EarlyRAT ».
Plus tôt cette année, Kaspersky a associé EarlyRAT à Andariel (« Stonefly »), considéré comme un sous-groupe au sein de l’équipe Lazarus.
Les capacités de CollectionRAT incluent l’exécution de commandes arbitraires, la gestion de fichiers, la collecte d’informations système, la création de shell inversé, la génération de nouveaux processus, la récupération et le lancement de nouvelles charges utiles et l’auto-suppression.
Un autre élément intéressant de CollectionRAT est l’incorporation du framework Microsoft Foundation Class (MFC), qui lui permet de déchiffrer et d’exécuter son code à la volée, d’échapper à la détection et de contrecarrer l’analyse.
D’autres signes d’évolution des tactiques, techniques et procédures de Lazarus repérés par Cisco Talos incluent l’utilisation intensive d’outils et de frameworks open source, tels que Mimikatz pour le vol d’informations d’identification, PuTTY Link (Plink) pour le tunneling à distance et DeimosC2 pour les commandes et les procédures. contrôler les communications.
Cette approche aide Lazarus à laisser moins de traces distinctes derrière lui et rend donc plus difficile l’attribution, le suivi et le développement de mesures de protection efficaces.