Votre organisation est-elle à l'abri des attaques Lazarus ?

L'origine du groupe Lazarus

Le groupe Lazarus est actif depuis 2009 environ, avec sa première opération d'envergure connue sous le nom d'"Opération Troy". Il est responsable de plusieurs cyberattaques très médiatisées, notamment le piratage de Sony Pictures en 2014, le vol de la banque du Bangladesh en 2016 et l'attaque du ransomware WannaCry en 2017.

Contrairement à de nombreux groupes parrainés par l'État, Lazarus est très motivé financièrement, menant des cambriolages de banques et des vols de crypto-monnaies pour soutenir l'économie de la Corée du Nord.

Selon MITRE, les définitions des groupes de menace nord-coréens se chevauchent souvent de manière significative. Certains chercheurs en sécurité classent toutes les activités cybernétiques parrainées par l'État nord-coréen sous le nom de Lazarus Group, plutôt que de faire la distinction entre des groupes ou sous-groupes spécifiques comme Andariel, APT37, APT38 et Kimsuky.

Le groupe a utilisé le nom de Guardians of Peace pour le piratage de Sony, mais il est également connu sous d'autres noms tels que Hidden Cobra (par le ministère américain de la sécurité intérieure et le FBI), ZINC, NICKEL ACADEMY, Diamond Sleet (par Microsoft) et Labyrinth Chollima (par Crowdstrike).

^{Source de la chronologie :}^{Trend Micro}

Cibles

Les cibles de Lazare

Pays ciblés par Lazarus

Les opérations du groupe ont été retracées dans le monde entier, avec des activités confirmées aux États-Unis, en Corée du Sud, en Inde, au Bangladesh et dans la région Asie-Pacifique au sens large. Il a également ciblé des entités en Europe et au Moyen-Orient. Lazarus est connu pour cibler les pays concernés par des sanctions économiques ou des différends diplomatiques avec la Corée du Nord.

Industries ciblées par le groupe Lazarus

Le Lazarus Group a montré un profil de ciblage diversifié, y compris des agences gouvernementales, des institutions financières, des entrepreneurs de la défense, des échanges de crypto-monnaies et des entreprises de médias. Leurs motivations varient de l'espionnage politique au vol financier, avec un accent sur les secteurs qui peuvent soit générer des fonds pour le régime nord-coréen, soit fournir des informations sensibles.

Industries ciblées par le groupe Lazarus

Le Lazarus Group a montré un profil de ciblage diversifié, y compris des agences gouvernementales, des institutions financières, des entrepreneurs de la défense, des échanges de crypto-monnaies et des entreprises de médias. Leurs motivations varient de l'espionnage politique au vol financier, avec un accent sur les secteurs qui peuvent soit générer des fonds pour le régime nord-coréen, soit fournir des informations sensibles.

Les victimes de Lazare

Parmi les victimes les plus connues figurent Sony Pictures (2014), la Banque du Bangladesh (2016) et diverses bourses de crypto-monnaies. Leur activité dans le secteur financier, en particulier par l'utilisation de malware et de vols destructifs, a causé des millions de dollars de dommages. Le groupe a également mené des campagnes de cyberespionnage contre des institutions sud-coréennes.

Méthode d'attaque

La méthode d'attaque du groupe Lazarus

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Lazarus utilise fréquemment des campagnes de harponnage (spear-phishing ) pour obtenir un accès initial, en utilisant souvent des pièces jointes ou des liens malveillants qui délivrent des informations personnalisées ( malware).

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Après avoir obtenu l'accès, ils déploient des outils tels que des rootkits ou des malware personnalisés pour élever les privilèges et pénétrer plus profondément dans les réseaux.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Le groupe est capable d'échapper aux mesures de sécurité en utilisant des techniques telles que la désactivation des logiciels de sécurité, l'utilisation de certificats volés ou l'exploitation de vulnérabilités de type "zero-day".

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Lazarus utilise des enregistreurs de frappe, des outils d'extraction d'informations d'identification et des exploits pour recueillir les informations d'identification des utilisateurs, en ciblant souvent les comptes à privilèges élevés.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Une fois à l'intérieur d'un système, ils effectuent une reconnaissance du réseau afin d'identifier les systèmes critiques et les dépôts de données à l'aide de commandes intégrées et d'outils tels que PowerShell.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Lazarus se déplace latéralement sur les réseaux en utilisant des informations d'identification valides, des protocoles de bureau à distance (RDP) ou en exploitant les relations de confiance entre les systèmes.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Les données sensibles sont souvent collectées par le biais d'outils tels que les services de partage de fichiers ou malware avec des capacités d'exfiltration personnalisées, ciblant les données financières, les portefeuilles de crypto-monnaies et les documents confidentiels.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le groupe utilise des portes dérobées personnalisées, telles que Manuscrypt et Destover, pour exécuter des commandes à distance et maintenir la persistance.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les données volées sont exfiltrées à l'aide de serveurs Web, de serveurs FTP ou de canaux de communication cryptés compromis afin de s'assurer que les informations atteignent leur infrastructure de commandement et de contrôle.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Dans les opérations financières, Lazarus perturbe souvent les systèmes après le vol, en utilisant le site malware pour brouiller les pistes. Ils ont été impliqués dans des campagnes de ransomware et de destruction de données, ce qui amplifie encore l'impact sur leurs victimes.

Accès Initial

Lazarus utilise fréquemment des campagnes de harponnage (spear-phishing ) pour obtenir un accès initial, en utilisant souvent des pièces jointes ou des liens malveillants qui délivrent des informations personnalisées ( malware).

Élévation de privilèges

Après avoir obtenu l'accès, ils déploient des outils tels que des rootkits ou des malware personnalisés pour élever les privilèges et pénétrer plus profondément dans les réseaux.

Défense Evasion

Le groupe est capable d'échapper aux mesures de sécurité en utilisant des techniques telles que la désactivation des logiciels de sécurité, l'utilisation de certificats volés ou l'exploitation de vulnérabilités de type "zero-day".

Accès aux identifiants

Lazarus utilise des enregistreurs de frappe, des outils d'extraction d'informations d'identification et des exploits pour recueillir les informations d'identification des utilisateurs, en ciblant souvent les comptes à privilèges élevés.

Découverte

Une fois à l'intérieur d'un système, ils effectuent une reconnaissance du réseau afin d'identifier les systèmes critiques et les dépôts de données à l'aide de commandes intégrées et d'outils tels que PowerShell.

Mouvement latéral

Lazarus se déplace latéralement sur les réseaux en utilisant des informations d'identification valides, des protocoles de bureau à distance (RDP) ou en exploitant les relations de confiance entre les systèmes.

Collection

Les données sensibles sont souvent collectées par le biais d'outils tels que les services de partage de fichiers ou malware avec des capacités d'exfiltration personnalisées, ciblant les données financières, les portefeuilles de crypto-monnaies et les documents confidentiels.

Exécution

Le groupe utilise des portes dérobées personnalisées, telles que Manuscrypt et Destover, pour exécuter des commandes à distance et maintenir la persistance.

Exfiltration

Les données volées sont exfiltrées à l'aide de serveurs Web, de serveurs FTP ou de canaux de communication cryptés compromis afin de s'assurer que les informations atteignent leur infrastructure de commandement et de contrôle.

Impact

Dans les opérations financières, Lazarus perturbe souvent les systèmes après le vol, en utilisant le site malware pour brouiller les pistes. Ils ont été impliqués dans des campagnes de ransomware et de destruction de données, ce qui amplifie encore l'impact sur leurs victimes.

MITRE ATT&CK Mapping

TA0001: Initial Access

No items found.

TA0002: Execution

No items found.

TA0003: Persistence

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1218

System Binary Proxy Execution

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

No items found.

TA0040: Impact

T1490

Inhibit System Recovery

Détections de la plate-forme

Comment détecter Lazarus avec Vectra AI

File Share Enumeration

Hidden HTTPS Tunnel

Privilege Anomaly: Unusual Account on Host

Suspicious Port Sweep

Voir plus de détections

Évaluez votre exposition aux attaques

Foire aux questions

Quelle est la réputation du Lazarus Group ?

Le Lazarus Group est connu pour ses activités de cyber-espionnage et de vol financier à grande échelle, notamment l'attaque de Sony Pictures en 2014 et le vol de la banque du Bangladesh en 2016.

Qu'est-ce qui motive le Lazarus Group ?

Leurs activités sont motivées par les intérêts de l'État nord-coréen, notamment les représailles politiques, l'espionnage et la génération de ressources financières par le biais d'activités illicites.

Comment Lazarus obtient-il un accès initial aux systèmes cibles ?

Ils utilisent souvent des campagnes de harponnage (spear-phishing ) avec des pièces jointes ou des liens malveillants pour diffuser malware.

Quels sont les secteurs généralement ciblés par Lazarus ?

Lazarus cible les institutions financières, les échanges de crypto-monnaies, les entreprises de médias et les agences gouvernementales.

Quels sont les outils malware associés à Lazarus Group ?

Ils sont associés à des outils tels que Manuscrypt, Destover et divers backdoors et wipers personnalisés.

Pourquoi le Lazarus Group est-il difficile à détecter ?

Lazarus utilise des techniques avancées de contournement des défenses, telles que la désactivation des logiciels de sécurité, l'obscurcissement de malware et l'utilisation de canaux de communication cryptés.

Quel est le rôle de Lazarus dans les crimes financiers ?

Le groupe est impliqué dans le vol d'argent auprès de banques et de plateformes de crypto-monnaies, ainsi que dans la conduite de ransomwares et d'attaques destructrices pour extorquer les victimes.

Comment les organisations peuvent-elles détecter les activités du groupe Lazarus ?

Les organisations doivent surveiller les TTP connues, telles que les protocoles anormaux de la couche d'application, l'utilisation suspecte de comptes valides et les activités inhabituelles d'accès aux informations d'identification.

Quelles sont les mesures défensives pour contrer le Lazarus Group ?

La mise en œuvre de l'authentification multifactorielle (MFA), d'une forte segmentation du réseau, de la correction en temps utile des vulnérabilités et d'outils de détection des menaces avancés peut atténuer leurs attaques.

Lazarus Group a-t-il été impliqué dans des attaques de ransomware ?

Oui, ils ont déployé des ransomwares dans certaines de leurs campagnes afin de maximiser leurs gains financiers et de perturber les activités des victimes.