Les hackers nord-coréens de Lazarus se seraient attaqués à des organismes de santé
Des chercheurs de Cisco Talos ont découvert de nouvelles attaques des pirates opérant pour le compte du régime de Kim Jong-un. Les hackers de Lazarus auraient usé massivement d'outils open source pour s'en prendre à des organismes de santé aux Etats-Unis.
Les pirates de Lazarus font à nouveau parler d'eux. Des chercheurs de Cisco Talos ont publié, le 24 août, deux rapports repérés par le média The Record concernant des attaques qu'ils auraient mené ces derniers mois. En exploitant une vulnérabilité de ServiceDesk, une solution de gestion de services informatiques éditée par ManageEngine très prisée des entreprises, ils s'en seraient ainsi pris à des organismes de santé américains.
"Il s'agit de la troisième campagne documentée attribuée à cet acteur en moins d'un an, [Lazarus] réutilisant la même infrastructure tout au long de ces opérations", ont indiqué les chercheurs sans donner plus de détails sur les cibles des attaques. L'an dernier, déjà, le fleuron de la cybercriminalité nord-coréenne était accusé d'avoir volé 1,2 milliard de dollars en cryptoactifs et d'avoir subtilisé 625 millions de dollars sur le jeu vidéo Axie Infinity.
L'open source comme facilitateur
Concernant les attaques les plus récentes, les chercheurs de Cisco Talos notent que les pirates ont commencé à exploiter le bug de ServiceDesk en février en y déployant un malware nommé QuiteRAT. Plus difficile à identifier que son prédécesseur MagicRAT, déjà uilisé par Lazarus, le logiciel occupe entre quatre et cinq mégaoctets de stockage et permet aux hackers de collecter des données sur l'appareil infecté. QuiteRAT peut également se mettre en mode sommeil pendant plusieurs semaines.
Cisco Talos a également identifié le malware CollectionRAT, utilisé quant à lui par une division de Lazarus nommée Andariel, et remarqué que les pirates avaient davantage recours à des outils ouverts tels que DeimosC2 et Plink. À ce sujet, ils estiment que "Lazarus semble changer de tactique s'appuyant de plus en plus sur des outils et des cadres open source dans la phase d'accès initial de ses attaques, au lieu de les employer strictement dans la phase post-compromission".
Un constat, déjà effectué par plusieurs experts en cybersécurité et par le ministère de la défense des Etats-Unis, selon lequel l'open source aurait une grande part de responsabilité dans la multiplication récente de cyberattaques visant des entreprises et des institutions à travers le monde. Il apparaît d'ailleurs, comme le note Cisco Talos, que l'utilisation commune et ouverte de logiciels rend plus difficile l'identification des hackers.
Sélectionné pour vous
SUR LE MÊME SUJET
Les hackers nord-coréens de Lazarus se seraient attaqués à des organismes de santé
Tous les champs sont obligatoires
0Commentaire
Réagir