{"id":1633,"date":"2023-02-25T18:15:16","date_gmt":"2023-02-25T18:15:16","guid":{"rendered":"https:\/\/cycuri.com\/?p=1633"},"modified":"2023-02-25T18:17:28","modified_gmt":"2023-02-25T18:17:28","slug":"le-groupe-lazarus-utilise-probablement-la-nouvelle-porte-derobee-winordll64-pour-exfiltrer-des-donnees-sensibles","status":"publish","type":"post","link":"https:\/\/cycuri.com\/le-groupe-lazarus-utilise-probablement-la-nouvelle-porte-derobee-winordll64-pour-exfiltrer-des-donnees-sensibles\/","title":{"rendered":"Le groupe Lazarus utilise probablement la nouvelle porte d\u00e9rob\u00e9e WinorDLL64 pour exfiltrer des donn\u00e9es sensibles"},"content":{"rendered":"<div style=\"margin-top: 0px; margin-bottom: 0px;\" class=\"sharethis-inline-share-buttons\" ><\/div>\n<p>Une nouvelle porte d\u00e9rob\u00e9e associ\u00e9e \u00e0 un t\u00e9l\u00e9chargeur de logiciels malveillants nomm\u00e9 <strong>Wslink<\/strong> a \u00e9t\u00e9 d\u00e9couverte, avec l&rsquo;outil probablement utilis\u00e9 par le c\u00e9l\u00e8bre groupe Lazarus align\u00e9 sur la Cor\u00e9e du Nord, r\u00e9v\u00e8lent de nouvelles d\u00e9couvertes.<\/p>\n\n\n\n<p>La charge utile, baptis\u00e9e <strong>WinorDLL64<\/strong> par ESET, est un implant complet qui peut exfiltrer, \u00e9craser et supprimer des fichiers ; ex\u00e9cuter des commandes PowerShell&nbsp;; et obtenir des informations compl\u00e8tes sur la machine sous-jacente.<\/p>\n\n\n\n<p>Ses autres fonctionnalit\u00e9s comprennent la liste des sessions actives, la cr\u00e9ation et la fin des processus, l&rsquo;\u00e9num\u00e9ration des lecteurs et la compression des r\u00e9pertoires.<\/p>\n\n\n\n<p>Wslink a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par la soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 en octobre 2021, le d\u00e9crivant comme un chargeur de logiciels malveillants \u00ab\u00a0simple mais remarquable\u00a0\u00bb capable d&rsquo;ex\u00e9cuter les modules re\u00e7us en m\u00e9moire.<\/p>\n\n\n\n<p>\u00ab\u00a0La charge utile Wslink peut \u00eatre exploit\u00e9e plus tard pour le mouvement lat\u00e9ral, en raison de son int\u00e9r\u00eat sp\u00e9cifique pour les sessions r\u00e9seau\u00a0\u00bb, a <a href=\"https:\/\/translate.google.com\/website?sl=auto&amp;tl=fr&amp;hl=fr&amp;u=https:\/\/www.welivesecurity.com\/2023\/02\/23\/winordll64-backdoor-vast-lazarus-arsenal\/\" rel=\"noreferrer noopener\" target=\"_blank\">d\u00e9clar\u00e9<\/a> Vladislav Hr\u010dka, chercheur chez ESET . \u00ab\u00a0Le chargeur Wslink \u00e9coute sur un port sp\u00e9cifi\u00e9 dans la configuration et peut servir des clients de connexion suppl\u00e9mentaires, et m\u00eame charger diverses charges utiles.\u00a0\u00bb<\/p>\n\n\n\n<p>Les intrusions utilisant le logiciel malveillant seraient tr\u00e8s cibl\u00e9es car seules quelques d\u00e9tections ont \u00e9t\u00e9 observ\u00e9es \u00e0 ce jour en Europe centrale, en Am\u00e9rique du Nord et au Moyen-Orient.<\/p>\n\n\n\n<p>En mars 2022, ESET a expliqu\u00e9 l&rsquo;utilisation par le logiciel malveillant d&rsquo;un <a href=\"https:\/\/github.com\/eset\/wslink-vm-analyzer\" target=\"_blank\" rel=\"noopener\" title=\"\">obfuscateur<\/a> de \u00ab\u00a0machine virtuelle multicouche avanc\u00e9e\u00a0\u00bb pour \u00e9chapper \u00e0 la d\u00e9tection et r\u00e9sister \u00e0 l&rsquo;ing\u00e9nierie inverse.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"728\" height=\"462\" src=\"https:\/\/cycuri.com\/wp-content\/uploads\/2023\/02\/ADS.webp\" alt=\"\" class=\"wp-image-1637\" title=\"Groupe Lazare\" srcset=\"https:\/\/cycuri.com\/wp-content\/uploads\/2023\/02\/ADS.webp 728w, https:\/\/cycuri.com\/wp-content\/uploads\/2023\/02\/ADS-300x190.webp 300w\" sizes=\"(max-width: 728px) 100vw, 728px\" \/><\/figure>\n\n\n\n<p>Les liens vers le groupe Lazarus proviennent de chevauchements de comportement et de code avec ceux des campagnes pr\u00e9c\u00e9dentes &#8211; <a href=\"https:\/\/translate.google.com\/website?sl=auto&amp;tl=fr&amp;hl=fr&amp;u=https:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide\/\" rel=\"noreferrer noopener\" target=\"_blank\">Operation GhostSecret<\/a> et <a href=\"https:\/\/translate.google.com\/website?sl=auto&amp;tl=fr&amp;hl=fr&amp;u=https:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/hidden-cobra-targets-turkish-financial-sector-new-bankshot-implant\/\" rel=\"noreferrer noopener\" target=\"_blank\">Bankshot<\/a> &#8211; qui ont \u00e9t\u00e9 attribu\u00e9s \u00e0 la menace persistante avanc\u00e9e.<\/p>\n\n\n\n<p>Cela inclut des similitudes avec les \u00e9chantillons GhostSecret d\u00e9taill\u00e9s par McAfee en 2018, qui sont livr\u00e9s avec un \u00ab\u00a0composant de collecte de donn\u00e9es et d&rsquo;installation d&rsquo;implants\u00a0\u00bb qui s&rsquo;ex\u00e9cute en tant que service, refl\u00e9tant le m\u00eame comportement que Wslink.<\/p>\n\n\n\n<p>ESET a d\u00e9clar\u00e9 que la <a href=\"https:\/\/translate.google.com\/website?sl=auto&amp;tl=fr&amp;hl=fr&amp;u=https:\/\/www.virustotal.com\/gui\/file\/3bc8bbf4a1b3596e54e20609c398eab877c581ea369f6e1ef0ab0f9afe330d12\/\" rel=\"noreferrer noopener\" target=\"_blank\">charge utile<\/a> avait \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e dans la base de donn\u00e9es de logiciels malveillants VirusTotal depuis la Cor\u00e9e du Sud, o\u00f9 se trouvent certaines des victimes, ajoutant de la cr\u00e9dibilit\u00e9 \u00e0 l&rsquo;implication de Lazarus.<\/p>\n\n\n\n<p>Les r\u00e9sultats sont une fois de plus d\u00e9monstratifs du vaste arsenal d&rsquo; outils de piratage employ\u00e9s par le groupe Lazarus pour infiltrer ses cibles.<\/p>\n\n\n\n<p>\u00ab\u00a0La charge utile de Wslink est d\u00e9di\u00e9e \u00e0 fournir des moyens de manipulation de fichiers, d&rsquo;ex\u00e9cution de code suppl\u00e9mentaire et d&rsquo;obtention d&rsquo;informations d\u00e9taill\u00e9es sur le syst\u00e8me sous-jacent qui peuvent \u00e9ventuellement \u00eatre exploit\u00e9es ult\u00e9rieurement pour un mouvement lat\u00e9ral\u00a0\u00bb, a d\u00e9clar\u00e9 ESET.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle porte d\u00e9rob\u00e9e associ\u00e9e \u00e0 un t\u00e9l\u00e9chargeur de logiciels malveillants nomm\u00e9 Wslink a \u00e9t\u00e9 d\u00e9couverte, avec l&rsquo;outil probablement utilis\u00e9 par le c\u00e9l\u00e8bre groupe Lazarus align\u00e9 sur la Cor\u00e9e du Nord, r\u00e9v\u00e8lent de nouvelles d\u00e9couvertes. La charge utile, baptis\u00e9e WinorDLL64 par ESET, est un implant complet qui peut exfiltrer, \u00e9craser et supprimer des fichiers ; [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1634,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[48,55,34],"tags":[49,87,88],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1633"}],"collection":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/comments?post=1633"}],"version-history":[{"count":3,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1633\/revisions"}],"predecessor-version":[{"id":1639,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1633\/revisions\/1639"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media\/1634"}],"wp:attachment":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media?parent=1633"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/categories?post=1633"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/tags?post=1633"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}