Selon Picus Security, ce billet d’analyse présente un panorama actualisé du groupe Lazarus (APT38/Hidden Cobra), ses cibles, ses opérations marquantes et ses techniques avancées d’attaque.
Lazarus est décrit comme un acteur étatique nord-coréen actif depuis 2009, menant simultanément de l’espionnage, du vol financier et des attaques destructrices à l’échelle mondiale. Les opérations notables citées incluent Sony Pictures (2014), la fraude SWIFT de la Bangladesh Bank (81 M$, 2016) et l’épidémie de ransomware WannaCry (2017). Les secteurs visés comprennent la finance, les gouvernements, la santé, la défense et les cryptomonnaies.
Sur le plan technique, le groupe recourt à des chaînes d’attaque multi-étapes combinant spearphishing, watering-hole et applications trojanisées pour l’accès initial. Son arsenal comprend des RATs personnalisés, des wipers, des frameworks modulaires comme MATA, et du ransomware. Les TTPs clés incluent le DLL side-loading, le hijacking de KernelCallbackTable, l’abus de WMI, ainsi que l’exploitation de zero-days tels que CVE-2024-38193 (AFD.sys) et CVE-2024-21338 (noyau Windows).
Les charges malveillantes utilisent des techniques d’obfuscation et d’évasion telles que le packing Themida, la résolution dynamique d’API, et des chiffrements XOR/RC4/AES; des payloads encapsulés dans des GIF sont également mentionnés. La communication C2 s’appuie sur HTTP, TCP, SMTP et des stockages cloud (Dropbox).
Côté impact, Lazarus est associé à des effacements ciblés du MBR/des tables de partition et à du chiffrement AES/RSA dans ses campagnes de ransomware. Le texte fournit un cadrage MITRE ATT&CK implicite via ses TTPs et souligne la diversité des plateformes ciblées (Windows et macOS).
TTPs clés (extraits) 🎯
- Accès initial: spearphishing, watering-hole, applis trojanisées
- Exécution/Persistance: DLL side-loading, KernelCallbackTable hijacking, abus de WMI
- Exploitation: zero-days CVE-2024-38193 (AFD.sys), CVE-2024-21338 (noyau Windows)
- Evasion: Themida, résolution d’API dynamique, XOR/RC4/AES, payloads « GIF-wrapped »
- C2: HTTP, TCP, SMTP, cloud (Dropbox)
- Impact: wipers (MBR/partitions), ransomware (AES/RSA)
IOCs
- Non fournis dans cet extrait.
Type d’article: analyse de menace visant à profiler le groupe et synthétiser ses TTPs et capacités.
🧠 TTPs et IOCs détectés
TTPs
Accès initial: spearphishing, watering-hole, applications trojanisées; Exécution/Persistance: DLL side-loading, KernelCallbackTable hijacking, abus de WMI; Exploitation: zero-days CVE-2024-38193 (AFD.sys), CVE-2024-21338 (noyau Windows); Evasion: Themida, résolution d’API dynamique, XOR/RC4/AES, payloads « GIF-wrapped »; C2: HTTP, TCP, SMTP, cloud (Dropbox); Impact: wipers (MBR/partitions), ransomware (AES/RSA)
IOCs
Non fournis dans cet extrait.
🔗 Source originale : https://www.picussecurity.com/resource/blog/lazarus-group-apt38-explained-timeline-ttps-and-major-attacks