Logiciel malveillant ThreatNeedle

Le malware ThreatNeedle est une menace de porte dérobée que les chercheurs d'Infosec ont observée comme faisant partie de l'arsenal menaçant du groupe nord-coréen ATP (Advanced Persistent Threat) appelé Lazarus (également connu sous le nom d'APT38 et Hidden Cobra). La première fois que ce logiciel malveillant a été déployé dans le cadre d'une attaque active, c'était en 2018 lorsque Lazarus a ciblé un échange de crypto-monnaie de Hong Kong et un développeur de jeux mobiles.

Dans leur dernière opération, les pirates ont de nouveau utilisé le logiciel malveillant ThreatNeedle. Cette fois, la campagne d'attaque vise des cibles de l'industrie de la défense situées dans plus d'une douzaine de pays répartis à travers le monde. Pour infiltrer les cibles sélectionnées, Lazarus utilise un système de spear-phishing finement conçu. Les pirates informatiques collectent des informations sur les réseaux sociaux sur un employé sélectionné, puis envoient un e-mail personnalisé conçu pour apparaître comme s'il avait été envoyé par l'organisation de l'employé. L'e-mail contient soit un document Word contenant des logiciels malveillants, soit un lien vers un serveur distant sous le contrôle des pirates. Ouvrir le document ou cliquer sur le lien lance la première partie d'une chaîne d'attaque en plusieurs étapes.

Au cours de cette étape de l'attaque, Lazarus effectue principalement la reconnaissance initiale, puis il est déterminé si l'attaque serait intensifiée en déposant des logiciels malveillants supplémentaires sur le système compromis et en commençant à se déplacer latéralement à travers le réseau interne. ThreatNeedle permet aux pirates d'avoir un contrôle total sur le système, d'exécuter des commandes arbitraires, de manipuler les systèmes de fichiers et de répertoires, de collecter et d'exfiltrer des données, de contrôler les processus de porte dérobée et de forcer le périphérique infecté à entrer en veille prolongée ou en mode veille.

L'aspect le plus menaçant de cette dernière opération menée par Lazarus est la capacité des pirates à surmonter la segmentation du réseau. Cela signifie que même si l'organisation ciblée a scindé son réseau interne en une partie connectée à l'Internet public et une section isolée. La violation est menée en prenant le contrôle d'un périphérique de routeur interne et en le configurant pour qu'il agisse en tant que serveur proxy. Les attaquants peuvent alors exfiltrer les données collectées depuis le réseau Intranet vers leur serveur distant.