Le Centre national de cybersécurité (NCSC) et le Service national de renseignement coréen (NIS) préviennent que le groupe de piratage nord-coréen Lazarus pirate les entreprises en utilisant une vulnérabilité zero-day du logiciel MagicLine4NX pour mener des attaques sur la chaîne d’approvisionnement.
MagicLine4NX est un logiciel d’authentification de sécurité développé par la société sud-coréenne Dream Security, utilisé pour les connexions sécurisées dans les organisations.
Selon l’avis conjoint sur la cybersécurité, les acteurs de la menace basés en RPDC ont exploité une vulnérabilité zero-day du produit pour pirater leurs cibles, principalement les institutions sud-coréennes.
« En mars 2023, des cybercriminels ont utilisé en série les vulnérabilités logicielles de l’authentification de sécurité et des systèmes liés au réseau pour obtenir un accès non autorisé à l’intranet d’une organisation cible », décrit l’avis.
« Il a utilisé une vulnérabilité logicielle du programme d’authentification de sécurité MagicLine4NX pour l’intrusion initiale dans un ordinateur connecté à Internet de la cible et a exploité une vulnérabilité zero-day du système lié au réseau pour se déplacer latéralement et obtenir un accès non autorisé aux informations. »
L’attaque a commencé par la compromission du site Web d’un média afin d’intégrer des scripts malveillants dans un article, permettant ainsi une attaque de type « point d’eau ».
Lorsque des cibles spécifiques de certaines plages IP visitaient l’article sur le site compromis, les scripts exécutaient du code malveillant pour déclencher la vulnérabilité mentionnée dans le logiciel MagicLine4NX, affectant les versions antérieures à 1.0.0.26.
Cela a permis à l’ordinateur de la victime de se connecter au serveur C2 (commande et contrôle) des attaquants, leur permettant ainsi d’accéder à un serveur côté Internet en exploitant une vulnérabilité dans un système lié au réseau.
En utilisant la fonction de synchronisation des données de ce système, les pirates nord-coréens ont diffusé un code de vol d’informations sur le serveur de l’entreprise, compromettant ainsi les PC de l’organisation cible.
Le code déposé se connectait à deux serveurs C2, l’un faisant office de passerelle au milieu et le second situé en externe sur Internet.
La fonction du code malveillant comprend la reconnaissance, l’exfiltration de données, le téléchargement et l’exécution de charges utiles cryptées à partir du C2, ainsi que le mouvement latéral du réseau.
Des informations détaillées sur cette attaque, nommée « Dream Magic » et attribuée à Lazarus, peuvent être trouvées dans ce rapport d’AhnLab, disponible uniquement en coréen.
Chaînes d’approvisionnement de Lazarus
Les opérations de piratage nord-coréennes soutenues par l’État s’appuient systématiquement sur les attaques de la chaîne d’approvisionnement et l’exploitation des vulnérabilités du jour zéro dans le cadre de leurs tactiques de cyberguerre.
En mars 2023, il a été découvert que « Labyrinth Chollima », un sous-groupe de Lazarus, avait mené une attaque contre la chaîne d’approvisionnement contre le fabricant de logiciels VoIP 3CX afin de pirater plusieurs entreprises de premier plan dans le monde.
Vendredi dernier, Microsoft a révélé une attaque de chaîne d’approvisionnement sur CyberLink que le groupe de piratage Lazarus a utilisée pour distribuer des chevaux de Troie et des installateurs CyberLink signés numériquement pour infecter au moins une centaine d’ordinateurs avec le malware « LambLoad ».
Le groupe de hackers nord-coréen utilise ce type d’attaques pour cibler des entreprises spécifiques, que ce soit à des fins de cyberespionnage, de fraude financière ou de vol de cryptomonnaie.
Plus tôt cette année, le Cybersecurity Advisory (CSA) a averti que les fonds volés lors des attaques des pirates nord-coréens étaient utilisés pour financer les opérations du pays.
« Les agences auteurs estiment qu’un montant non précisé des revenus de ces opérations de cryptomonnaie soutient les priorités et les objectifs de la RPDC au niveau national, y compris les cyberopérations ciblant les gouvernements des États-Unis et de la Corée du Sud. Les cibles spécifiques incluent les réseaux d’information du ministère de la Défense et les réseaux membres de la base industrielle de défense. « , lit-on dans un avis de la CISA.