De faux recruteurs attirent des employés de l’aérospatiale avec des défis de codage piégés par un cheval de Troie

 (welivesecurity.com)
1 points par GN⁺ 2023-10-02 | 1 commentaires | Partager sur WhatsApp
  • Des chercheurs d’ESET ont découvert une attaque de Lazarus visant une entreprise aérospatiale espagnole, qui a déployé une porte dérobée jusque-là inconnue appelée LightlessCan.
  • Le groupe Lazarus a obtenu un accès initial via une campagne de spear phishing réussie, en se faisant passer pour des recruteurs de Meta.
  • La victime a été contactée via la messagerie LinkedIn et a reçu deux défis de codage, qu’elle a téléchargés et exécutés sur un appareil de l’entreprise.
  • L’attaque a été révélée en collaboration avec l’entreprise aérospatiale touchée.
  • Les attaquants ont utilisé divers outils, dont trois types de charges utiles distribuées via le chargement latéral de DLL.
  • La charge utile la plus notable, la porte dérobée LightlessCan, met en œuvre des techniques permettant d’échapper à la détection par les logiciels de surveillance de sécurité en temps réel et à l’analyse des experts en cybersécurité.
  • Actif depuis 2009 et lié à la Corée du Nord, le groupe Lazarus est responsable d’incidents très médiatisés comme le piratage de Sony Pictures Entertainment et l’épidémie WannaCryptor.
  • L’attaque en Espagne a été attribuée à l’Operation DreamJob du groupe Lazarus, qui vise l’espionnage cybernétique contre des entreprises de la défense et de l’aérospatiale.
  • Le groupe Lazarus utilise des garde-fous d’exécution afin que les charges utiles ne puissent être déchiffrées que sur la machine de la victime visée.
  • La nouvelle charge utile LightlessCan est un outil complexe qui témoigne d’un haut niveau de sophistication dans sa conception et son fonctionnement.
  • L’article évoque des sites web légitimes compromis hébergeant des serveurs de commande et contrôle (C&C), notamment Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com et Korea Telecom.
  • L’article fournit une liste détaillée des techniques MITRE ATT&CK utilisées par les attaquants.
  • Les attaquants ont utilisé LinkedIn pour identifier et contacter des employés précis, et ont créé de faux profils LinkedIn en se faisant passer pour des chasseurs de têtes de Meta.
  • L’article s’appuie sur plusieurs sources pour offrir une vue d’ensemble complète de cette campagne de cyberespionnage.
  • En fournissant une analyse détaillée des techniques utilisées par les attaquants et des sites web associés, l’article est particulièrement pertinent pour les lecteurs technophiles intéressés par la cybersécurité.

À lire aussi

1 commentaires

 
GN⁺ 2023-10-02
Avis Hacker News
  • Article sur une méthode de piratage ingénieuse où un hacker se fait passer pour un recruteur afin d’envoyer à des employés du secteur aérospatial un défi de code trojanisé.
  • Le hacker a obtenu un accès via un test leetcode à faire chez soi, généralement ignoré par le système d’alerte d’Apple.
  • Le hacker visait des personnes susceptibles d’avoir un accès de haut niveau aux informations de l’entreprise.
  • Certaines personnes utilisent les ressources de leur entreprise pour leurs recherches d’emploi, ce qui peut conduire à ce type de violation de sécurité.
  • Le hacker a envoyé aux victimes un fichier .exe, ce qui aurait dû constituer un signal d’alarme indiquant une attaque possible.
  • Certaines personnes évitent délibérément de publier leur CV sur Internet afin d’éviter ce type d’incident de sécurité.
  • Il y a des critiques envers les personnes qui utilisent des appareils professionnels à des fins personnelles, car cela augmente le risque de violation de sécurité.
  • Certains s’interrogent sur la manière dont le groupe de hackers nord-coréen Lazarus/HIDDEN COBRA peut être aussi sophistiqué malgré l’accès limité à Internet en Corée du Nord.
  • Cet incident pousse certaines personnes à s’intéresser à des systèmes d’exploitation plus sûrs comme qubes-os.
  • Le hacker a envoyé un problème de code simple, ce qui aurait dû être un signal d’alarme, car la plupart des entreprises commencent par des problèmes de niveau intermédiaire ou difficile.
  • Il existe des anecdotes sur des incidents similaires, comme des ordinateurs portables piratés via un Wi-Fi gratuit.