Page Accueil Forums Analyses sécurité Le groupe cybercriminel Lazarus.

Vous lisez 1 fil de discussion
  • Auteur
    Messages
    • #44150
      Nicolas Coolman
      Maître des clés

      Le groupe cybercriminel Lazarus.

      En matière de cybercriminalité, le groupe Lazarus se trouve en bonne place pour sa nototiéré dans ses activités malveillantes à l’échelle mondiale. Lazarus est très probablement lié à un état et plus particulièrement à celui de la Corée du Nord, toutefois il n’y a aucune confirmation officielle qui l’atteste. Hidden Cobra, Guardians of Peace et Zinc sont les autres noms connus du groupe Lazarus.

      Ce groupe est impliqué dans une gamme d’activités cybercriminelles, y compris le piratage informatique, le vol de données, les attaques par ransomware et les opérations de sabotage. Ce sont généralement des institutions financières, des gouvernements, des entreprises et des médias à travers le monde qui sont la cible du groupe. Ce groupe se concentre sur les cyberattaques d’espionnage et d’infiltration. Un de ses sous-groupe, nommé Bluenoroff par Kaspersky, se spécialise dans les cyberattaques financières et cryptomonnaies.

      Lazarus utilise une variété de techniques sophistiquées pour mener à bien ses attaques, y compris l’ingénierie sociale, l’exploitation de vulnérabilités, l’utilisation de logiciels malveillants personnalisés et le phishing. Les motivations exactes de Lazarus ne sont pas toujours claires, elles sont probablement liées à des objectifs politiques, financiers et géopolitiques.

      En raison de ses activités malveillantes et de son envergure internationale, Lazarus est étroitement surveillé par les agences de sécurité et les organisations de cybersécurité du monde entier. Les chercheurs en sécurité informatique leur ont attribué de nombreuses cyberattaques depuis 2010.

      En 2014, Lazarus est soupçonné d’être derrière plusieurs attaques notables, y compris le piratage de Sony Pictures, où des milliers de fichiers ont été volés et divulgués. Ils sont également soupçonnés d’être impliqués dans le vol de 81 millions de dollars à la Banque centrale du Bangladesh en 2016, une des plus grandes cyberattaques contre une institution financière à ce jour.

      En 2017, Lazarus a été associé à des attaques de ransomware, telles que WannaCry, qui a infecté des centaines de milliers d’ordinateurs dans le monde entier. A la fin de l’année 2020, Lazarus cible ses attaques sur les entreprises pharmaceutiques. Au début de l’année 2021, le groupe cible des chercheurs en cybersécurité via une campagne d’ingénierie sociale. En juin 2022 et selon le FBI, le groupe malveillant serait responsable du vol de 100 millions de dollars de monnaie virtuelle.

      En juin 2023 Les pirates ciblent désormais les serveurs Web Windows Internet Information Services (IIS) vulnérables afin d’obtenir un accès initial aux réseaux d’entreprise. En novembre 2023, le groupe pirate CyberLink lors d’une attaque contre la chaîne d’approvisionnement.

      En mars 2024, le groupe APT Lazarus actualise son rootkit FudModule afin d’intégrer la faille AppLocker. A noter que cette faille a été récemment  corrigée par Microsoft dans son Patch Tuesday de février 2024.

    • #44216
      Nicolas Coolman
      Maître des clés

      Evolution du groupe APT Lazarus

      En mars 2024, le groupe APT Lazarus actualise son rootkit FudModule afin d’intégrer la faille AppLocker. Grâce à cette vulnérabilité, les hackers ont pu obtenir un accès au niveau du noyau et désactiver les outils de sécurité résidents. Connue sous la référence CVE-2024-21338, cette faille de sécurité a été récemment corrigée par Microsoft dans son Patch Tusday de février 2024. Un défaut dans la fonction appid.sys de Windows permet à un attaquant authentifié, en exécutant une application spécifiquement forgée, d’obtenir les privilèges SYSTEM. Une preuve de concept est disponible en sources ouvertes sur le site de Microsoft.

      Selon les expert sécurité de la solution Avast, il « utilise désormais une technique de manipulation des entrées de la table de gestion pour tenter de suspendre les processus protégés PPL (Protected Process Light) associés à Microsoft Defender, CrowdStrike Falcon et HitmanPro, ce qui représente une avancée majeure dans leur technique d’attaque ».

Vous lisez 1 fil de discussion
  • Vous devez être connecté pour répondre à ce sujet.
Retour en haut