Selon la société de cybersécurité Kaspersky, un groupe de pirates parrainé par l’État nord-coréen, appelé Lazarus Group, a lancé un nouveau programme de diffusion de logiciels malveillants.
Kaspersky a récemment publié un nouveau rapport qui allègue que Lazarus se fait désormais passer pour des sociétés de capital-risque pour diffuser des logiciels malveillants. Les chercheurs en sécurité ont également déclaré que BlueNoroff, le groupe lié à Lazarus, peut utiliser le malware pour contourner les mesures de sécurité Mark-of-the-Web (MOTW). Avec sa façade de capital-risqueur, BlueNoroff opère sous le prétexte de vouloir investir dans les monnaies numériques.
Dans son rapport, Kaspersky explique :
« [BlueNoroff] a créé de nombreux faux domaines qui ressemblent à des domaines de capital-risque et de banque. La plupart des domaines imitent des sociétés de capital-risque japonaises, ce qui indique que le groupe s’intéresse de près aux entités financières japonaises. »
En outre, Kaspersky a ajouté que les acteurs de la menace associés à Lazarus avaient imité des plateformes de capital-risque populaires pour diffuser des logiciels malveillants. Il s’agit notamment de Beyond Next Ventures, Angel Bridge, Bank of America et Mizuho Financial Group. Selon Kaspersky, il a détecté les attaques mondiales de BlueNoroff visant les startups de crypto en janvier de cette année. Cependant, la plateforme de cybersécurité a également déclaré que les activités des pirates ont chuté jusqu’à la saison d’automne.
Kaspersky a noté que BlueNoroff utilise ses logiciels malveillants pour attaquer les organisations qui mènent des opérations en utilisant des supports numériques et Web3. Ces canaux incluent les contrats intelligents, la finance décentralisée (DeFi), la blockchain, ainsi que l’industrie fintech.
En outre, BlueNoroff a testé différents types de fichiers pour affiner les méthodes de diffusion du malware. Selon Kaspersky, l’affilié de Lazarus Group a déployé le fichier Batch Windows Visual Basic Script, jusqu’alors inédit, dans le cadre de ses tests. « Comme le montrent nos dernières découvertes, cet acteur notoire a apporté de légères modifications à la diffusion de ses logiciels malveillants« , concluent les chercheurs.
Kaspersky affirme que le groupe de phishing affilié à Lazarus ne ralentit pas ses pratiques malveillantes
Kaspersky estime que BlueNoroff, qui compte environ 1 700 individus répartis dans le monde entier, n’est pas prêt de ralentir ses activités. Jusqu’à présent, le groupe de phishing a déployé plus de 70 domaines dans sa quête pour voler les startups de crypto-monnaie.
Augurant d’une année 2023 encore plus importante et plus active pour BlueNoroff et d’autres groupes de phishing, le chercheur Seongsu Park a déclaré :
« L’année à venir sera marquée par les cyberépidémies ayant le plus grand impact, dont la force n’a jamais été vue auparavant. […] Au seuil de nouvelles campagnes malveillantes, les entreprises doivent être plus sûres que jamais. »
Le sous-groupe BlueNoroff Lazarus s’est fait connaître pour la première fois après son attaque contre la banque centrale du Bangladesh en 2016. Dans une alerte d’avril, le sous-groupe faisait également partie d’un groupe de cybermenaces nord-coréennes mentionnées par un organisme américain de surveillance des cyberattaques. Selon l’Agence de cybersécurité et de sécurité des infrastructures et le Federal Bureau of Investigation de l’époque, la menace des pirates informatiques nord-coréens appelait à un renforcement des mesures de sécurité des entreprises de crypto-monnaie.
En avril également, une unité spécialisée du département du Trésor américain a affirmé que le Lazarus Group était à l’origine du piratage du pont Ronin. Ce piratage a eu lieu en mars de cette année et représentait à l’époque plus de 600 millions de dollars.