Le groupe Lazarus exploite la faille Log4Shell pour déployer un cheval de Troie d’accès à distance (RAT)
La faille de sécurité Log4Shell continue d'être exploitée ! Le célèbre groupe de cybercriminels Lazarus l'exploite au sein d'une campagne de cyberattaques dans le but de déployer des malwares de type "Remote Access Trojans" (RAT) sur les machines compromises !
En décembre 2021, nous apprenions l'existence de la vulnérabilité CVE-2021-44228, surnommée Log4Shell, et qui affectait la bibliothèque Log4j utilisée par des centaines de produits... Deux ans plus tard, cette vulnérabilité continue d'être un vecteur d'attaque intéressant pour les cybercriminels, comme le prouve cette campagne menée par le groupe Lazarus, un gang de cybercriminels associé à la Corée du Nord.
De nombreuses organisations sont ciblées, notamment dans les secteurs de l'industrie, de l'agriculture et de la sécurité physique. Selon Veracode, 2,8% des applications utilisent encore des versions vulnérables de la bibliothèque Log4j (de 2.0-beta9 à 2.15.0).
Les chercheurs en sécurité de Cisco Talos suivent cette campagne sous le nom d'Operation Blacksmith. D'après eux, les cybercriminels déploient trois malwares différents développés en D : DLRAT, NineRAT et BottomLoader. Il semblerait que les pirates exploitent la faille de sécurité Log4Shell contre des serveurs VMware Horizon accessibles sur Internet.
Les malwares NineRAT, DLRAT et BottomLoader
Une fois déployé sur une machine compromise, NineRAT est capable d'exécuter des commandes sur l'hôte, de collecter des informations sur le système, mais également de télécharger des fichiers et de se désinstaller lui-même. Les communications entre le malware et les cybercriminels sont effectuées via un service de messagerie légitime bien connu : Telegram. Ce dernier fait office de serveur C2 et les pirates s'appuient sur l'API de Telegram.
"L'utilisation de Telegram par Lazarus est susceptible d'échapper aux mesures de détection basées sur le réseau et l'hôte en utilisant un service légitime comme canal de communication C2.", précise le rapport de Cisco Talos.
Voici la chaine d'infection habituelle de NineRAT :
En mars 2023, il aurait été utilisé dans une attaque visant une organisation agricole sud-américaine. Ensuite, en septembre 2023, c'est une entreprise de fabrication européenne qui aurait été la cible de ce malware de type RAT.
Par ailleurs, les cybercriminels ont utilisé DLRAT dans le cadre de cette campagne d'attaques. Il s'agit d'un malware de type RAT, comme NineRAT, mais qui est également un downloader, c'est-à-dire un logiciel malveillant capable de télécharger et de déployer d'autres malwares. Cet arsenal de malwares est complété par BottomLoader, ce dernier étant utilisé pour déployer un outil de proxy personnalisé appelé HazyLoad.