Les attaquants du groupe Lazare ont utilisé des tactiques d’ingénierie sociale pour usurper l’identité des recruteurs et accéder aux systèmes dans une campagne bien coordonnée sur plusieurs mois.
Le groupe Lazare, le principal groupe de cyberespionnage parrainé par l’État de la Corée du Nord, a infecté plus de 1 500 systèmes dans le monde dans une campagne d’un mois au cours de laquelle ils ont extrait les informations d’identification de développement, les jetons d’authentification et les mots de passe stockés dans les navigateurs.
Les attaques, que les chercheurs de SecurityScorecard ont surnommé l’opération Phantom Circuit, ont commencé en novembre 2024 et ont principalement ciblé les développeurs. Ils impliquent une stratégie d’ingénierie sociale que les pirates nord-coréens ont utilisé au cours de la dernière année pour cibler les développeurs: usurper l’identité des recruteurs pour les inciter à télécharger et à exécuter du code malveillant sur leurs systèmes.
Dans ce cas, les attaquants ont copié des applications légitimes utilisées dans les systèmes de crypto-monnaie et d’authentification et ont mis en place des référentiels Rogue Gitlab pour eux avec des versions arrière de ces packages.
Cela fait suite à une campagne rapportée en septembre et également attribuée aux pirates nord-coréens, dans lesquels les développeurs étaient également ciblés avec des offres d’emploi par de faux recruteurs de sociétés financières connues. Les tests effectués aux victimes au cours du processus de recrutement leur ont impliqué de trouver un bogue dans une application de gestion de mot de passe hébergé sur GitHub, mais ils leur ont également impliqué le déploiement du code arrière sur leur système.
En avril, les attaquants nord-coréens ont utilisé la fausse stratégie du recruteur pour inciter les développeurs à déployer des projets Node.js déépanouis sur leurs systèmes dans une campagne très similaire qui a été surnommée Dev # Popper. Cela souligne qu’il s’agit d’une stratégie réussie qui a des résultats et que les attaquants affinent leur approche au fil du temps.
Les attaquants ont construit une infrastructure en couches
Sur la base des données collectées par SecurityScorCard obtenues en analysant l’infrastructure de commandement et de contrôle des attaquants, la campagne a eu trois vagues. En novembre, les attaquants ont ciblé 181 développeurs, principalement des secteurs de la technologie européenne. En décembre, la campagne s’est étendue à l’échelle mondiale ciblant des centaines de développeurs, avec certains points chauds comme l’Inde (284 victimes). En janvier, une nouvelle vague a ajouté 233 victimes supplémentaires, dont 110 systèmes dans le secteur de la technologie en Inde.
« Les attaquants ont exfiltré des données critiques, y compris les informations d’identification de développement, les jetons d’authentification, les mots de passe stockés par le navigateur et les informations système », ont déclaré les chercheurs. «Une fois collectés par les serveurs C2, les données ont été transférées à Dropbox, où elles ont été organisées et stockées. Les connexions persistantes à Dropbox ont mis en évidence l’approche systématique des attaquants, certains serveurs conservant des sessions actives pendant plus de cinq heures. »
Malgré l’utilisation de plusieurs tunnels VPN pour l’obscurcissement, l’activité de l’attaquant a été retrouvée à plusieurs adresses IP en Corée du Nord. Les attaquants connectés via des points de terminaison Astrill VPN, puis via les IPS du réseau proxy Oculus en Russie et enfin aux serveurs C&C organisés par une entreprise appelée Stark Industries.
Les attaquants ont utilisé des logiciels malveillants en plusieurs étapes
Le backend administratif du groupe pour les données des victimes a utilisé des technologies modernes telles que React et Node.js et a exposé plusieurs points de terminaison API pour le contrôle opérationnel granulaire et le tri des victimes. Des critères de terminaison séparés ont été utilisés pour surveiller les détails des périphériques, tels que les noms de PC, les systèmes d’exploitation et les configurations, pour trouver des informations d’identification et des journaux d’activité volés.
« Le niveau de précision et de personnalisation dans cette plate-forme est troublant », a déclaré Sherstobitoff. «Il montre un effort délibéré pour gérer les données volées à grande échelle tout en éluant la détection.»
Dans un rapport plus tôt en janvier, SecurityScoreCard a décrit certaines des charges utiles de logiciels malveillants utilisés par les attaquants. Le premier est un téléchargeur léger surnommé Main99 dont le but est de se connecter aux serveurs C&C et de télécharger des charges utiles supplémentaires. Un autre téléchargeur plus robuste existe également et est surnommé Main5346.
Ces téléchargeurs exécutent des charges utiles spécifiques aux tâches, par exemple, Payload99 / 73, qui collecte les données système mais peut également exfiltrer des fichiers, télécharger des données de presse-papiers, tuer les processus du navigateur et exécuter des scripts supplémentaires. Une autre charge utile est appelée BROW99 / 73 et vise à collecter des informations auprès des navigateurs, mais également des mots de passe à partir des clés de cryptage MacOS ou de cryptage AES à partir de Windows.
Enfin, un implant appelé MCLIP est un Keylogger qui surveille également l’activité du presse-papiers et renvoie des données aux attaquants en temps réel.
« Cette campagne est conforme à l’utilisation documentée des cyberattaques par la Corée du Nord pour financer les programmes de l’État », ont déclaré les chercheurs de sécurité de sécurité. «Entre 2017 et 2023, les rapports estiment que la Corée du Nord a généré 1,7 milliard de dollars à partir de vols de crypto-monnaie, soulignant la nécessité pour les organisations mondiales de vérifier les dépendances logicielles et de surveiller leurs environnements de développement.»
