L’équipe de recherche et d’analyse de Kaspersky (GReAT) a dévoilé une nouvelle campagne du groupe Lazarus, qui cible les organisations du monde entier. L’étude, présentée au Security Analyst Summit (SAS), révèle que cette campagne APT sophistiquée est distribuée via des logiciels malveillants et légitimes.
GReAT a identifié plusieurs cyberincidents dans lesquels un logiciel légitime conçu pour crypter les communications Web à l’aide de certificats numériques a été utilisé. Même si des notifications et des correctifs ont été publiés pour les vulnérabilités, certaines organisations dans le monde ont continué à utiliser des versions vulnérables du logiciel, créant ainsi une porte ouverte pour le groupe Lazarus.
«Le groupe Lazarus est persévérant, possède une motivation sans faille et affiche des capacités avancées. Elle opère à l’échelle mondiale et cible un large éventail de secteurs de diverses manières. Il s’agit d’une menace en constante évolution qui doit toujours nous garder vigilants », déclare Seongsu Park, chercheur principal en sécurité chez GReAT chez Kaspersky.
Lazarus contre les logiciels légitimes
Les cyberattaquants ont fait preuve d’un haut degré de sophistication, employant des techniques d’évasion avancées et des logiciels malveillants pour garder la victime sous contrôle. Ils ont utilisé l’outil LPEClient, auparavant utilisé pour attaquer des victimes dans les secteurs de la défense, de l’ingénierie nucléaire et des cryptomonnaies.
Ce malware joue un rôle crucial dans le lancement de l’infection et le profilage de la victime, s’alignant sur la tactique du groupe Lazarus, comme on l’a vu lors d’une précédente attaque contre la chaîne d’approvisionnement de 3CX.
Kaspersky découvre une dangereuse campagne Lazarus exploitant des logiciels légitimes
Lazarus a tenté à plusieurs reprises de compromettre l’éditeur de logiciels, éventuellement dans le but de voler du code source critique ou de perturber la chaîne d’approvisionnement.
Recommandations de sécurité
Pour éviter d’être victime de menaces connues ou inconnues, les experts de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
- Mettez régulièrement à jour les appareils, les applications et les logiciels antivirus pour corriger les vulnérabilités connues.
- Utilisez une solution EDR fiable telle que Kaspersky Endpoint Detection and Response pour la détection précoce des menaces avancées, ainsi que pour enquêter et résoudre les incidents.
- Fournissez à l’équipe SOC les dernières informations sur les menaces. Le portail Kaspersky Threat Intelligence est un point d’accès simple pour les entreprises qui propose des informations et des données collectées par Kaspersky au cours des 20 dernières années.
- Soyez prudent avec les e-mails, les messages et les appels qui demandent des informations sensibles. Il est essentiel de vérifier l’identité de l’interlocuteur avant de partager toute information confidentielle ou de cliquer sur un lien
- Formez correctement votre équipe de sécurité à faire face aux dernières menaces grâce à la formation en ligne Kaspersky