Les hackers de Lazarus ciblent l’industrie de la défense en offrant de faux emplois à Lockheed Martin
Le célèbre groupe cybercriminel basé en Corée du Nord, Lazarus, est impliqué dans une autre campagne de phishing ciblant l’industrie de la défense. Le groupe APT s’est fait passer pour Lockheed Martin, société basée à Bethesda, dans le Maryland, spécialisée dans l’aéronautique, l’espace et la technologie militaire.
Le groupe de cybercriminels cible les demandeurs d'emploi avec de fausses offres d'emploi Lockheed Martin. La campagne a été découverte par Akshat Pradhan, ingénieur senior de Qualys en recherche sur les menaces, le 8 février.
Lazarus est un groupe de piratage parrainé par l’État qui a des liens avec la Corée du Nord. Le groupe de cybercriminels a été à l’origine de plusieurs attaques sérieuses dans le passé, notamment l’ attaque du rançongiciel WannaCry, ainsi que le braquage de la Banque du Bangladesh qui a volé plus de 80 millions de dollars. Le groupe serait également responsable d’attaques contre des sociétés de fret et des chaînes d’approvisionnement sud-coréennes.
Dans l’attaque actuelle, Lazarus envoie des e-mails et des documents de phishing aux demandeurs d'emploi, prétendant offrir des opportunités d'emploi à Lockheed Martin. Les demandeurs d'emploi reçoivent un e-mail contenant des pièces jointes, nommé "Lockheed_Martin_JobOpportunities.docx" ou
"Salary_Lockheed_Martin_job_opportunities_confidential.doc".
Ces documents contiennent des macros malveillantes et, lorsqu’on clique dessus, ils peuvent déclencher le shellcode qui détourne le contrôle de l’appareil et crée des tâches planifiées pour la persistance. Les pirates abusent également de Living Off the Land Binaries (LOLBins) pour compromettre davantage l’appareil de la cible. Cependant, alors qu’ils tentaient d’augmenter la charge utile, l’équipe Qualys a obtenu une erreur, de sorte que les chercheurs ne sont pas sûrs du résultat final.
"Nous attribuons cette campagne à Lazarus car il existe un chevauchement important dans le contenu macro, le flux de campagne et les thèmes de phishing de nos variantes identifiées ainsi que des variantes plus anciennes qui ont été attribuées à Lazarus par d’autres fournisseurs", déclare Pradhan.
Ce n’est pas la première fois que Lazarus attaque des demandeurs d'emploi, car F-Secure a également trouvé des échantillons d’e-mails de phishing sous forme de fausses offres d'emploi envoyées à une organisation de crypto-monnaie. L’équipe de cybersécurité Blueliv d’Outpost24 a nommé Lazarus, FIN7 et Cobalt comme les groupes les plus répandus ciblant la crypto-monnaie et d’autres organisations financières.
Ce n’est pas la première fois que nous voyons des cyberattaques liées à des offres d'emploi. Auparavant, les pirates informatiques nord-coréens parrainés par l’État se faisaient passer pour des recruteurs de l’entreprise Samsung et envoyaient des e-mails de phishing aux demandeurs d'emploi avec des documents malveillants.
Lazarus a également compromis divers systèmes Windows le mois dernier en envoyant des pièces jointes infectées aux victimes par lesquelles elles sont dirigées vers un dossier Windows/System32.
Selon ZDNet, un porte-parole de Lockheed Martin a déclaré: "Bien que nous ne discutions pas de menaces ou de réponses spécifiques, nous avons mis en place des politiques et des procédures pour atténuer les cybermenaces pour notre entreprise, et nous restons confiants dans l’intégrité de notre robuste, multi – les systèmes d’information multicouches et la sécurité des données.
Après l’annonce de l’attaque, l’entreprise a également dédié une page sur la fraude au recrutement sur son site Web. Selon Lockheed Martin, certains identifiants d’escroquerie courants incluent le fait de vous demander d’effectuer des paiements pour les frais de voyage ou d’autres petites dépenses. Une fois le paiement effectué, les pirates ne contactent jamais la victime.