Une nouvelle campagne de cyberattaques Lazarus ciblant des entreprises sud-coréennes a été découverte. Cette campagne sophistiquée, baptisée “Operation Synchole“, combine des attaques de type “Watering Hole” avec l’exploitation de vulnérabilités de logiciels tiers.
Des experts ont également mis au jour une vulnérabilité zero-day dans le logiciel sud-coréen Innorix Agent, largement utilisé. Un correctif a été rapidement déployé.
L’opération “Synchole” en détail
Selon un rapport récent, au moins six entreprises sud-coréennes des secteurs du logiciel, de l’informatique, de la finance, des semi-conducteurs et des télécommunications ont été ciblées. Le nombre réel de victimes pourrait être plus élevé.
Le danger des cyberattaques Lazarus
Actif depuis au moins 2009, le groupe Lazarus est un acteur de menace connu disposant de ressources importantes. La campagne récemment découverte exploite une vulnérabilité “One-Day” d’Innorix Agent, un outil tiers intégré aux navigateurs pour le transfert sécurisé de fichiers.
Cette vulnérabilité permet aux cybercriminels de faciliter les mouvements latéraux et d’installer d’autres logiciels malveillants. L’opération a conduit à la distribution de malwares signés par Lazarus, tels que Threatneedle et Lpeclient, étendant ainsi leur présence au sein des réseaux internes. L’exploit fait partie d’une chaîne d’attaques plus large distribuée via le téléchargement d’Agamemnon, ciblant spécifiquement une version vulnérable d’Innorix (9.2.18.496).
Découverte d’une autre vulnérabilité zero-day
L’analyze du comportement des malwares a permis de découvrir une autre vulnérabilité zero-day liée au téléchargement automatique de fichiers. Cette vulnérabilité était utilisée pour mener des attaques. Le problème a été signalé aux autorités compétentes et au fabricant,qui a mis à jour le logiciel avec des versions corrigées.
Une chaîne d’infections complexe
Avant les découvertes relatives à Innorix, des experts avaient déjà identifié l’utilisation d’une variante du backdoor Threatneedle et de Signbt dans des attaques en Corée du Sud.Le malware, s’exécutant dans la mémoire du processus légitime synchost.exe, se présentait comme une extension de CrossExting, un logiciel sud-coréen conçu pour prendre en charge l’utilisation d’outils de sécurité dans divers navigateurs.
L’analyse détaillée de la campagne a confirmé que le même vecteur d’attaque était régulièrement observé dans cinq autres entreprises sud-coréennes. La chaîne d’infections semblait provenir d’une vulnérabilité potentielle de CrossExting, suggérant que c’était le point de départ de l’infection. Un avis de sécurité récent a confirmé la présence d’une vulnérabilité dans CrossExting, qui a été corrigée pendant cette recherche.
Méthodes d’exécution des attaques de l’opération synchole
Le groupe Lazarus a utilisé des sites web compromis, fréquentés par un grand nombre d’utilisateurs, pour attirer l’attention. cette technique d’attaque est connue sous le nom de “Watering Hole”.Les cybercriminels ont réussi à filtrer le trafic entrant pour identifier les utilisateurs à attaquer, les redirigeant ensuite sélectivement vers des sites web contrôlés directement par le groupe.
Comment se défendre contre les cyberattaques Lazarus et autres attaques APT
Il est crucial de mettre en œuvre une stratégie de détection et de réponse rapide aux attaques connues, ainsi que de corriger rapidement les vulnérabilités.
Recommandations générales pour les entreprises
Mettre à jour régulièrement les logiciels de tous les appareils utilisés pour empêcher les cybercriminels d’accéder au réseau en exploitant les vulnérabilités.
Réaliser des audits de cybersécurité des réseaux et des ressources pour identifier les lacunes ou les systèmes vulnérables et corriger les faiblesses découvertes.
* Utiliser une solution de sécurité offrant une protection en temps réel, une visibilité des menaces, une analyse et une réponse EDR et XDR.
Les solutions de Threat Intelligence permettent aux entreprises d’avoir une vue d’ensemble complète et détaillée pendant tout le cycle de gestion des incidents, leur permettant d’identifier les risques informatiques en temps opportun.
« Nos découvertes réitèrent une préoccupation générale concernant la sécurité.Les plugins et les outils de support de navigateurs tiers augmentent considérablement les possibilités d’attaque, en particulier pour les environnements qui reposent sur des logiciels spécifiques à une zone ou obsolètes. Ces éléments sont souvent exécutés avec des niveaux de priorité élevés, restent en mémoire et interagissent profondément avec les processus du navigateur, ce qui les rend très intéressants et souvent plus faciles à attaquer que les navigateurs modernes. »
Directeur d’une équipe de recherche en sécurité
Cyberattaque Lazarus : Tout savoir sur l’opération “Synchole” et comment se protéger
Table of Contents
Introduction
Une nouvelle cyberattaque sophistiquée, baptisée “Operation Synchole”, vise des entreprises sud-coréennes. Cette campagne, menée par le groupe Lazarus, combine des attaques de type “Watering Hole” avec l’exploitation de vulnérabilités de logiciels tiers.
Qu’est-ce que l’opération “Synchole” ?
L’opération “Synchole” est une campagne de cyberattaques menée par le groupe Lazarus, ciblant des entreprises sud-coréennes. Elle utilise des techniques sophistiquées, notamment des attaques “Watering Hole” et l’exploitation de vulnérabilités de logiciels tiers, pour infiltrer les réseaux et voler des données.
Secteurs Ciblés
L’opération “synchole” a ciblé au moins six entreprises sud-coréennes dans les secteurs suivants :
Logiciels
Informatique
Finance
Semi-conducteurs
Télécommunications
Méthodes d’Attaque
Le groupe lazarus emploie plusieurs méthodes pour mener à bien ses attaques :
attaques Watering Hole : Utilisation de sites web compromis, fréquentés par les cibles, pour rediriger les utilisateurs vers des sites malveillants.
Exploitation de vulnérabilités : Utilisation de vulnérabilités “One-Day” et “zero-day” dans les logiciels tiers (comme Innorix Agent et CrossExting) pour accéder aux systèmes et installer des logiciels malveillants.
Distribution de logiciels malveillants : Déploiement de malwares signés par Lazarus, tels que threatneedle et Lpeclient.
Vulnérabilités Exploitées
Innorix Agent : Vulnérabilité “One-Day” dans Innorix Agent, un outil tiers utilisé par les navigateurs pour le transfert sécurisé de fichiers.
Téléchargement automatique de fichiers : Vulnérabilité “zero-day”, utilisée pour mener des attaques.
CrossExting : Vulnérabilité dans CrossExting, un logiciel sud-coréen, utilisée comme point de départ probable de l’infection.
Conséquences des Attaques
Les attaques “Synchole” permettent aux cybercriminels :
d’accéder aux réseaux internes des entreprises.
d’installer d’autres logiciels malveillants.
de voler des données sensibles.
* de faciliter les mouvements latéraux dans les systèmes informatiques.
FAQ
Qu’est-ce que le groupe Lazarus ?
Un groupe de cybercriminels connu pour mener des attaques sophistiquées et disposant de ressources importantes.
Qu’est-ce qu’une attaque “Watering Hole” ?
Une attaque où les cybercriminels compromettent des sites web fréquentés par leurs cibles pour les rediriger vers des sites malveillants.
qu’est-ce qu’une vulnérabilité “zero-day” ?
une vulnérabilité logicielle non connue publiquement et exploitée avant qu’un correctif ne soit disponible.
Quels sont les logiciels malveillants utilisés ?
Threatneedle et Lpeclient.
Quelles sont les recommandations pour se protéger ?
Mettre à jour les logiciels, réaliser des audits de cybersécurité, et utiliser une solution de sécurité avec protection en temps réel.
Tableau Récapitulatif de l’Opération “Synchole”
| Aspect | description |
| —————- | ————————————————————————————————– |
| Nom de l’opération | Operation Synchole |
| Acteur | Groupe Lazarus |
| Cibles | entreprises sud-coréennes (logiciels, informatique, finance, semi-conducteurs, télécommunications) |
| Méthodes | Watering Hole, exploitation de vulnérabilités (Innorix Agent, téléchargement auto de fichiers, CrossExting) |
| Logiciels Malveillants | Threatneedle, Lpeclient |
| Objectifs | Infiltration de réseaux, vol de données, mouvements latéraux |
| Recommandations | Mises à jour, audits de cybersécurité, solutions de sécurité avec EDR/XDR |