Grâce à de fausses offres d'emploi publiées sur LinkedIn, les pirates du groupe Lazarus cherchent à inciter les victimes à exécuter du code malveillant et à voler de la cryptomonnaie.
Un signaler récemment publié par une société de sécurité F-Secure, détaille que le groupe de hackers connu sous le nom de Groupe Lazarus exécute une attaque via le réseau professionnel LinkedIn, pour tromper les utilisateurs clés et sans méfiance avec une fausse offre d'emploi qui ne cherche qu'à voler leur crypto-monnaies. Selon le rapport, le mode opératoire du Groupe Lazarus consiste en une campagne de phishing visant à promouvoir une fausse offre d'emploi au sein d'une entreprise blockchain via LinkedIn. Cette offre d'emploi contient un document qui, une fois téléchargé et ouvert, exécute un code malveillant qui permet aux pirates informatiques d'obtenir les identifiants de connexion et l'accès au réseau des victimes, données avec lesquelles elles pourront éventuellement accéder aux systèmes où sont stockées les crypto-monnaies.
L'attaque vise le échanges, les maisons de garde et autres organisations verticales de crypto-monnaie. Par exemple, lors de la dernière et la plus récente attaque du groupe Lazarus, des pirates ont ciblé un administrateur système d'une bourse majeure, qui avait reçu une offre d'emploi via le réseau LinkedIn.
Selon le rapport F-Secure, la fausse offre d'emploi indiquait exactement les connaissances, compétences et capacités exactes de la victime, et contenait également un document Word décrivant plus d'informations sur l'offre d'emploi. De même, l'offre indiquait que le document était protégé par le Loi sur le règlement général sur la protection des données de l'Union européenne (RGPD), il a donc demandé à la victime d'activer les macros pour pouvoir visualiser l'intégralité du document, ce qui a permis l'installation d'un VBScript à l'intérieur de l'appareil afin que les pirates puissent contrôler les connexions à plusieurs serveurs de commandes compromis supervisés par Lazarus Group.
Il peut vous intéresser: Des mineurs trouvés cachés dans les services Amazon
Campagnes de phishing ciblant les administrateurs d'entreprises et d'organisations importantes
Le groupe Lazarus est l'un des plus grands groupes de hackers au monde lié à la Corée du Nord et a mené des attaques contre plusieurs secteurs et entreprises majeurs. En plus de la récente attaque contre des sociétés de crypto-monnaie, le groupe Lazarus utilise également des stratégies de phishing pour cibler des employés clés de l'industrie aérospatiale et des organisations de défense américaines.
McAfee y Ciel clair a publié des rapports révélant que ce groupe de pirates informatiques profite de techniques d'attaque similaires à celles utilisées via LinkedIn contre l'administrateur de l'échange de crypto-monnaie, pour compromettre les utilisateurs et leurs appareils et accéder à des informations confidentielles.
"Les techniques, tactiques et procédures (TTP) de l'activité 2020 sont très similaires aux campagnes précédentes qui fonctionnent selon le même modus operandi que celui que nous avons observé en 2017 et 2019."
La campagne de phishing menée par ce groupe Lazarus a débuté en 2018 avec plusieurs incidents dans les pays suivants : Chine, États-Unis, Royaume-Uni, Canada, Allemagne, Russie, Corée du Sud, Argentine, Singapour, Hong Kong, Pays-Bas, Estonie, Japon et Philippines, selon le rapport F-Secure.
Comment fonctionne l’attaque de phishing du groupe Lazarus ?
Comme mentionné au début, la fausse offre d'emploi indique aux victimes que le document d'information est protégé par la loi européenne sur la protection des données, la victime doit donc activer les macros pour visualiser le document. Cependant, lorsque les macros sont activées, le document exécute un code malveillant qui collecte et extrait des informations sensibles de l'appareil compromis, les envoyant aux attaquants. Ces informations permettent aux pirates de « télécharger des fichiers supplémentaires, de décompresser les données en mémoire, d'initier une communication C2, d'exécuter des commandes arbitraires et de voler des informations d'identification à partir de diverses sources », et bien plus encore.
En raison de la compétence que possède ce groupe de hackers, le Groupe Lazarus représente une menace continue pour la société et les organisations, c'est pourquoi la société de sécurité appelle les utilisateurs à être conscients des éventuelles attaques dont ils pourraient être victimes, ainsi que les entreprises. et les organisations doivent être conscientes de la nécessité d'accroître la sécurité et la surveillance continue de leurs espaces, qui représentent une cible spécifique pour ce groupe dangereux.
À propos du groupe Lazarus
On estime que ce groupe de hackers a été formé en 2007 en Corée du Nord pour diriger des attaques contre des institutions gouvernementales, bancaires, financières et militaires, ainsi que des industries de différents secteurs, tels que les entreprises de communication, de divertissement, les compagnies maritimes, la blockchain et bien plus encore. . Selon un signaler émis par le Département du Trésor des États-Unis, Lazarus Group utilise des techniques de cyberespionnage, le vol de données, le vol d'argent et des opérations destructrices via des logiciels malveillants pour diriger des cyberopérations malveillantes.
Ce groupe est impliqué dans plusieurs braquages de banques commerciales et de bureaux de change, comme le vol de 81 millions de dollars à Banque du Bangladesh en 2016. De même, le département du Trésor des États-Unis estime que le groupe Lazarus a volé plus de 570 millions de dollars entre 2017 et 2018 pour les fournir au gouvernement nord-coréen.
Continuer la lecture: Sécurité : plusieurs bourses présentent des vulnérabilités qui mettent en danger les fonds des utilisateurs
