L’acteur de menace en la Corée du Nord connue sous le nom de groupe Lazare a été attribué à une campagne d’ingénierie sociale qui distribue trois pièces malveillantes multiplateforme appelées Pondrat, Themeforestrat et Remotepe.
L’attaque, observée par Fox-IT du groupe NCC en 2024, a ciblé une organisation dans le secteur des finances décentralisées (DEFI), conduisant finalement au compromis du système d’un employé.
“À partir de là, l’acteur a effectué une découverte de l’intérieur du réseau en utilisant différents rats en combinaison avec d’autres outils, par exemple, pour récolter des informations d’identification ou des connexions proxy”, a déclaré Yun Zheng Hu et Mick Koomen. “Par la suite, l’acteur a déménagé sur un rat plus furtif, ce qui signifie probablement une prochaine étape de l’attaque.”
La chaîne d’attaque commence avec l’acteur de menace qui a usurpé l’identité d’un employé existant d’une société commerciale sur Telegram et en utilisant de faux sites Web déguisés en calendrier et picktime pour planifier une réunion avec la victime.
Bien que le vecteur d’accès initial exact ne soit actuellement pas connu, le pied est mis à profit pour déployer un chargeur appelé perfhloader, qui laisse tomber Pondrat, un logiciel malveillant connu évalué comme une variante dépouillée de Poolrat (aka Simplesea). La société de cybersécurité a déclaré qu’il y avait des preuves suggérant qu’un exploit alors nulle dans le navigateur Chrome avait été utilisé dans l’attaque.
Il y a également un certain nombre d’autres outils, notamment un moteur d’écran, un keylogger, des informations d’identification Chrome et un voleur de biscuits, Mimikatz, FRPC et des programmes de procuration comme Midproxy et Proxy Mini.
“Pondrat est un rat simple qui permet à un opérateur de lire et d’écrire des fichiers, de démarrer des processus et d’exécuter Shellcode”, a déclaré Fox-it, en l’ajoutant remonte à au moins 2021. “L’acteur a utilisé Pondat en combinaison avec le rat plus sophistiqué appelé Remotepepe.”
Le malware Pondrat est conçu pour communiquer sur HTTP (s) avec un serveur de commande et de contrôle (C2) à code dur pour recevoir d’autres instructions, avec Themeforestrat lancé directement en mémoire via Pondrat ou un chargeur dédié.
Themeforestrat, comme Pondrat, surveille les nouvelles sessions de bureau à distance (RDP) et contacte un serveur C2 sur HTTP (s) pour récupérer jusqu’à vingt commandes pour énumérer des fichiers / répertoires, effectuer des opérations de fichiers, exécuter des commandes, télécharger des fichiers TCP, injecter shellcode, spawn procédé, obtenir une liste de processus, un fichier de fichiers, injecter shellcode, spaw durée spécifique.
Fox-it a déclaré que Thereforestrat partage des similitudes avec un nom de logiciel malveillant Roméogolf qui a été utilisé par le groupe Lazare lors de l’attaque de destructrice de novembre 2014 contre Sony Pictures Entertainment (SPE). Il a été documenté par Novetta dans le cadre d’un effort de collaboration connu sous le nom d’Operation Blockbuster.
Remotepe, en revanche, est récupéré à partir d’un serveur C2 par Remotepeloader, qui, à son tour, est chargé par DPapiloader. Écrit en C ++, Remotepe est un rat plus avancé qui est probablement réservé aux cibles de grande valeur.
“Pondrat est un rat primitif qui offre peu de flexibilité, cependant, en tant que charge utile initiale, elle atteint son objectif”, a déclaré Fox-It. “Pour des tâches plus complexes, l’acteur utilise Thereforestrat, qui a plus de fonctionnalités et reste sous le radar car il est chargé en mémoire uniquement.”
