Un groupe de piratage soutenu par la Corée du Nord a ciblé l’industrie de la défense avec un logiciel malveillant de porte dérobée personnalisé appelé ThreatNeedle depuis début 2020 dans le but final de collecter des informations très sensibles.

Cette campagne d’espionnage a touché des organisations de plus d’une douzaine de pays et a été coordonnée par des pirates informatiques soutenus par la RPDC, suivis sous le nom de Lazarus Group.

Les attaquants ont utilisé des e-mails de spear-phishing sur le thème de COVID19 avec des pièces jointes ou des liens malveillants comme vecteur d’accès initial au réseau d’entreprise de l’entreprise.

Après le compromis initial, ils ont installé le malware ThreatNeedle sur mesure du groupe, utilisé pour la première fois en 2018 dans des attaques ciblant les entreprises de crypto-monnaie.

«Une fois installé, ThreatNeedle est capable d’obtenir le contrôle total de l’appareil de la victime, ce qui signifie qu’il peut tout faire, de la manipulation des fichiers à l’exécution des commandes reçues», ont déclaré plus tôt les chercheurs de Kaspersky en sécurité.

Flux d'attaque
Flux d’attaque (Kaspersky)

ThreatNeedle a aidé les pirates de Lazarus à se déplacer latéralement dans les réseaux des organisations de défense et à récolter des informations sensibles qui ont été exfiltrées vers des serveurs contrôlés par des attaquants à l’aide d’un outil de tunneling personnalisé via des tunnels SSH vers des serveurs sud-coréens distants compromis.

La porte dérobée leur a également permis de contourner la segmentation du réseau et d’accéder à des réseaux restreints avec des appareils critiques qui n’avaient pas accès à Internet.

« Après avoir pris pied dans un premier temps, les attaquants ont rassemblé des informations d’identification et se sont déplacés latéralement, à la recherche d’actifs cruciaux dans l’environnement victime », a ajouté Kaspersky.

« Nous avons observé comment ils ont surmonté la segmentation du réseau en accédant à un routeur interne et en le configurant en tant que serveur proxy, leur permettant d’exfiltrer les données volées du réseau intranet vers leur serveur distant. »

Tout au long de leurs attaques, les pirates ont également été vus voler des documents et des données des deux réseaux informatiques de bureau (à partir d’appareils utilisés pour stocker des affaires et …

Voir la source de cette publication