NineRAT Malware cible les systèmes utilise les tactiques du groupe Lazarus Hacker

Cisco Talos a récemment découvert une nouvelle cyber-campagne orchestrée par le groupe Lazarus, baptisée « Opération Blacksmith ». Cette opération utilise trois nouvelles familles de logiciels malveillants basés sur DLang, dont deux sont identifiées comme des chevaux de Troie d'accès à distance (RAT). Notamment, l'un de ces RAT utilise des robots et des canaux Telegram comme moyen de communication de commande et de contrôle (C2), ce qui lui vaut le surnom de « NineRAT », tandis que le RAT non basé sur Telegram est étiqueté « DLRAT ». De plus, un téléchargeur basé sur DLang connu sous le nom de « BottomLoader » a été identifié lors de l'opération.

Cette découverte marque un changement significatif dans les tactiques employées par le groupe Lazarus, un groupe nord-coréen APT (Advanced Persistent Threat). Au cours des 18 derniers mois, Cisco Talos a dévoilé trois RAT distincts développés à l'aide de technologies non conventionnelles telles que QtFramework, PowerBasic et le plus récent, DLang.

Des parallèles ont notamment été observés entre l’opération Blacksmith de Lazarus et les tactiques, techniques et procédures (TTP) associées au groupe Onyx Sleet, parrainé par l’État nord-coréen, également reconnu sous le nom de groupe Andariel APT. Andariel est largement considéré comme un sous-groupe sous l'égide de Lazarus, cette campagne démontrant un ciblage opportuniste des entreprises mondiales qui exposent les infrastructures vulnérables à une exploitation des vulnérabilités de n jours, y compris le célèbre CVE-2021-44228 (Log4j). Lazarus ciblait spécifiquement des secteurs tels que l’industrie manufacturière, l’agriculture et la sécurité physique.

L'opération Blacksmith impliquait l'exploitation de Log4j et introduisait un RAT basé sur DLang jusqu'alors inconnu, NineRAT, qui utilisait Telegram pour la communication C2. NineRAT a été initialement construit vers mai 2022 et a été utilisé pour la première fois dans la campagne environ un an plus tard, ciblant une organisation agricole sud-américaine en mars 2023 et une entité manufacturière européenne en septembre 2023.

Les analyses de Cisco Talos ont révélé un chevauchement avec des attaques malveillantes divulguées par Microsoft en octobre 2023, attribuées à Onyx Sleet. Cela correspond à la compréhension plus large selon laquelle l'APT Lazarus fonctionne comme une organisation faîtière englobant divers sous-groupes, chacun poursuivant différents objectifs liés à la défense, à la politique, à la sécurité nationale, ainsi qu'à la recherche et au développement de la Corée du Nord.

Les utilisateurs d'ordinateurs affectés par le logiciel malveillant NineRAT doivent prendre des mesures en utilisant un outil anti-malware pour non seulement empêcher de futures attaques, mais aussi pour éliminer complètement la menace.