News
SentinelLabs identifie un lien caché entre Trickbot « Anchor » et l’outil « Lazarus », présumé Nord-Coréen
décembre 2019 par SentinelOne
SentinelOne annonce que sa division de recherche SentinelLabs a identifié une éventuelle collaboration inédite entre l’organisation cybercriminelle TrickBot et Lazarus, groupe nord-coréen spécialiste des menaces persistantes avancées (APT). La boîte à outils de TrickBot, appelée « Anchor Project », est le premier lien connu entre des groupes cybercriminels et des acteurs APT. Les recherches effectuées montrent que des outils de « Anchor Project » sont utilisés pour déployer des logiciels malveillants qui pourraient être associés au régime nord-coréen - une découverte aux répercussions importantes en termes de sécurité pour les États-Unis.
« Anchor Project » présente un cadre d’attaque tout-en-un conçu pour cibler les environnements d’entreprise à l’aide d’outils existants et personnalisés. Alors que la plupart des groupes Etats-Nations cherchent avant tout à établir un accès permanent, à des fins d’espionnage, de surveillance et d’exfiltration de données, le groupe Lazarus est, quant à lui, chargé de financer le régime nord-coréen et utilise les techniques d’infection de TrickBot pour monétiser ses activités. La sophistication croissante des outils de TrickBot, combinée aux priorités de Lazarus, a conduit à une collaboration inédite. Cette découverte a été identifiée par l’équipe SentinelLabs, nouvelle division dédiée à la veille, la recherche et l’analyse sur mesure des menaces, dirigée par Vitali Kremez.
Anchor Project utilise une série d’outils qui permettent aux attaquants d’exporter les données sensibles et d’installer une persistance à long terme. Cette boîte à outil permet tout d’abord d’installer un logiciel malveillant puis de dissimuler ses traces en éliminant tous les signes d’infection. Tout cela rend « Anchor Project » particulièrement intéressant tant pour les activités de l’Etat-Nation que pour les organisations criminelles. En investiguant sur l’« Anchor Project », et en réalisant que Lazarus était l’un des rares groupes intéressés à la fois par l’exfiltration de données et le gain financier, SentinelLabs a immédiatement cherché un lien entre les deux groupes et a rapidement constaté que l’outil « PowerRatankba », précédemment lié à Lazarus, avait été en réalité livré à une victime infectée d’Anchor infectée.
« Les entreprises mercenaires comme TrickBot cherchent toujours à s’introduire sur de nouveaux marchés et à trouver d’autres groupes de hackers pour leur vendre leurs logiciels malveillants », explique Vitali Kremez. « Mais comme de nombreux groupes d’Etats-nations n’ont que rarement des objectifs financiers, TrickBot a réussi à s’imposer dans ce domaine. Le fait que ce groupe soit désormais lié à des attaques précédemment attribuées à des malwares APT appartenant à Lazarus, est révélateur d’une évolution majeure dans le monde de la cybercriminalité. »
Si SentinelOne protège contre toutes les techniques utilisées dans« Anchor Project », beaucoup d’autres antivirus traditionnels et solutions Next-Gen, ne le font pas, ce qui expose les entreprises à des risques considérables.
Pour plus d’informations sur « Anchor Project », rendez-vous sur le blog de SentinelLabs en cliquant ici..
