Les pirates de Lazarus exploitent la faille de sécurité Log4Shell pour déployer de nouveaux logiciels malveillants RAT

Test on publish!

Des pirates informatiques liés au groupe de menace nord-coréen Lazarus ont été observés en train d’exploiter la vulnérabilité Log4Shell (alias CVE-2021-44228) pour attaquer des organisations du monde entier.

Découverte début 2023, la campagne baptisée  »Opération Blacksmith » par Cisco Les chercheurs de Talos cibleraient les entreprises manufacturières, agricoles et de sécurité physique du monde entier.

« L’opération Blacksmith impliquait l’exploitation de CVE-2021-44228, également connu sous le nom de Log4Shell, et l’utilisation d’un RAT basé sur DLang jusqu’alors inconnu utilisant Telegram comme canal C2 », révèle l’avis.

Exploitant la faille Log4Shell sur les serveurs VMWare Horizon exposés publiquement, les acteurs ont déployé trois nouveaux malwares. Parmi eux, deux sont des chevaux de Troie d’accès à distance (RAT) nommés NineRAT et DLRAT, et l’autre est un téléchargeur de logiciels malveillants nommé BottomLoader. Un changement définitif dans les techniques et les outils de Lazaus a été observé, chevauchant son prétendu sous-groupe, Onyx Sleet (alias PLUTIONIUM ou Andariel).

Lors de la reconnaissance initiale, les pirates ont mis en place un outil proxy ״HazyLoad״ pour un accès continu au système infecté. Il a également été observé que Lazarus, au lieu d’utiliser des comptes d’utilisateurs non autorisés au niveau du domaine, créait des comptes au niveau du système avec des privilèges administratifs.

Un autre écart observé dans leur tactique était le « téléchargement et l’utilisation d’utilitaires de dumping d’informations d’identification tels que ProcDump et MimiKatzs » pour leur activité pratique au clavier.

La deuxième phase de la campagne implique le déploiement du roman NineRAT. Identifié pour la première fois en mars 2023, le cheval de Troie basé sur DLand utilise le canal C2 basé sur Telegram pour recevoir des commandes préliminaires. Le logiciel malveillant a non seulement la capacité de se désinstaller du système, mais peut également effectuer une nouvelle empreinte digitale du système, dans certains cas. Cela lui permet de collecter des données partagées par d’autres groupes APT.

« La nouvelle empreinte digitale des systèmes infectés indique que les données collectées par Lazarus via NineRAT peuvent être partagées par d’autres groupes APT et résident essentiellement dans un référentiel différent des données d’empreintes digitales collectées initialement par Lazarus lors de leur phase d’accès initial et de déploiement de l’implant », Cisco conclut.