Les chercheurs d’ESET ont découvert une campagne potentiellement associée au groupe Lazarus, utilisant des méthodes de harponnage (spearphishing) non conventionnelles et des malwares personnalisés contre des entreprises des secteurs de l’aérospatiale et de la défense.
Des chercheurs d’ESET ont découvert des cyberattaques très ciblées, qui se distinguent par l’utilisation d’astuces efficaces de harponnage (spearphishing) via LinkedIn leur permettant d’échapper à toute détection, avec apparemment pour objectif de réaliser des gains financiers en plus d’espionner. Les attaques, que les chercheurs d’ESET ont baptisées Opération In(ter)ception en raison d’un échantillon du malware nommé « Inception.dll », se sont déroulées de septembre à décembre 2019.
Les opérations étudiées par les chercheurs d’ESET commençaient par un message LinkedIn. « Le message était une offre d’emploi tout à fait crédible, apparemment émanant d’une entreprise bien connue dans un secteur pertinent. Bien sûr, le profil LinkedIn était factice, et les fichiers envoyés durant la communication étaient malveillants, » commente Dominik Breitenbacher, le chercheur d’ESET qui a analysé le malware et mené l’enquête.
Les fichiers étaient envoyés directement via la messagerie LinkedIn, ou par email avec un lien vers OneDrive. Pour cette seconde option, les pirates ont créé des comptes de messagerie correspondant à leurs profils LinkedIn factices.
Lorsque le destinataire ouvrait le fichier, un document PDF apparemment inoffensif présentait des informations relatives au salaire de la fausse offre d’emploi. Pendant ce temps, un malware était silencieusement déployé sur l’ordinateur de la victime. De cette façon, les pirates pouvaient établir un premier contact et une présence persistante dans le système.
Ils effectuaient ensuite une série d’actions que les chercheurs d’ESET ont décrit dans leur livre blanc « Opération In(ter)ception : Attaques ciblées contre des entreprises européennes des secteurs de l’aérospatiale et de la défense. Des malwares à plusieurs étapes, souvent déguisés en logiciels légitimes, et des versions modifiées d’outils open source faisaient partie des outils utilisés par les pirates. Ils ont également utilisé des tactiques dites « living off the land », qui détournent des utilitaires Windows préinstallés pour les obliger à effectuer différentes actions malveillantes.
« Les attaques que nous avons étudiées présentaient tous les signes de campagnes d’espionnage, avec plusieurs indices suggérant un lien possible avec le groupe Lazarus. Cependant, ni l’analyse des malwares ni l’enquête ne nous ont permis de déterminer les fichiers ciblés par les pirates, » ajoute M. Breitenbacher.
Outre l’espionnage, les chercheurs d’ESET ont pu déterminer avec certitude que les pirates ont tenté d’utiliser les comptes compromis pour soutirer de l’argent à d’autres entreprises.
Parmi les emails d’une victime, les pirates ont trouvé une communication entre la victime et un client au sujet d’une facture impayée. Ils ont poursuivi la conversation et ont exhorté le client à régler la facture, bien sûr, à destination de leur propre compte bancaire. Heureusement, l’entreprise cliente s’est méfiée et a contacté la victime directement, contrecarrant ainsi la tentative des pirates de mener une attaque dite d’usurpation de messagerie professionnelle.
« Cette tentative de monétiser l’accès au réseau de la victime devrait servir de raison supplémentaire à la fois pour établir des défenses solides contre les intrusions, et dispenser une formation de cybersécurité aux collaborateurs. Cette démarche de sensibilisation pourrait aider les collaborateurs à reconnaître des techniques d’ingénierie sociale moins connues, comme celles utilisées dans l’Opération In(ter)ception, » conclut M. Breitenbacher.
Pour plus de détails techniques sur l’Opération In(ter)ception, consultez l’article et le livre blanc « Opération In(ter)ception : Attaques ciblées contre des entreprises européennes des secteurs de l’aérospatiale et de la défense » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.