PC & Périphériques News

Des pirates nord-coréens lancent une attaque en utilisant Windows Update et GitHub


Pourquoi est-ce important: L’équipe Threat Intelligence de Malwarebytes a émis un nouvel avertissement aux utilisateurs concernant une menace récemment identifiée par le groupe de piratage nord-coréen Lazarus. L’attaque utilise de faux documents avec des macros intégrées conçues pour ressembler aux informations sur l’emploi de Lockheed Martin. Une fois la macro exécutée, l’exploit utilise Windows Update et GitHub pour fournir des charges utiles et infecter les utilisateurs sans méfiance.

L’organisation parrainée par l’État, déjà suspectée lors d’attaques passées telles que Vouloir pleurer et de nombreuses attaques contre Médias américains, a été découvert en utilisant Windows Update pour fournir des charges utiles malveillantes tout en utilisant GitHub comme serveur principal de commande et de contrôle (C2). Les attaques ont vaguement suivi celles du groupe plus tôt campagne emploi de rêve, qui ciblait des organisations ainsi que des individus spécifiques dans les secteurs de la défense, de l’aérospatiale et des marchés publics civils.

L’attaque de harponnage a utilisé deux documents MS Word leurres avec des macros intégrées (Lockheed_Martin_JobOpportunities.docx et Salary_Lockheed_Martin_job_opportunities_confidential.doc) qui ont été conçues pour apparaître comme des informations valides sur les offres d’emploi de Lockheed Martin.. Une fois que les macros malveillantes sont exécutées par un utilisateur peu méfiant, le package de logiciels malveillants effectue une série d’injections sur le système cible pour assurer la persistance entre les démarrages de la machine cible.

Une description complète du processus d’attaque, ainsi qu’une discussion approfondie des composants individuels constituant l’attaque, sont disponibles sur le site Web de l’équipe Malwarebytes Lab Threat Intelligence. Blog. Les chercheurs et ingénieurs en sécurité de Malwarebytes ont attribué l’attaque à Lazarus en se basant sur des similitudes avec les attaques passées de l’organisation nord-coréenne, telles que :

  • Documents d’opportunités d’emploi frauduleux bien conçus, marqués d’icônes pour les sous-traitants de la défense tels que Lockheed Martin, Northrop Grumman et Boeing
  • Ciblage spécifique des demandeurs d’emploi dans les secteurs de la défense et de l’aérospatial
  • Similitudes dans les métadonnées qui relient la récente campagne de spear phishing à des campagnes antérieures similaires

Un avril 2020 Avis sur les cybermenaces a été publié par la DHS Cybersecurity and Infrastructure Security Agency (CISA) afin de fournir des orientations officielles concernant les cyberactivités de la Corée du Nord. Les récompenses pour la justice du Département d’État (RFJ) Le programme fournit également des conseils sur les types d’informations et d’activités à déclarer. Les pourboires éligibles qui perturbent toute action contre le gouvernement américain sont éligibles pour des récompenses allant jusqu’à 5 millions de dollars.





Source link

Quelle est votre réaction ?

Excité
0
Heureux
0
J'adore
0
Pas certain
0
ridicule
0

Vous aimerez aussi

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.