Source: Lab52 — Dans une analyse technique, Lab52 décrit une campagne DreamJobs attribuée au groupe Lazarus visant le secteur UAV, mettant en lumière des chargeurs modulaires (« DreamLoaders ») déployés via DLL sideloading, applications trojanisées et communications C2 appuyées sur des services Microsoft.
• Le rapport identifie trois variantes de loaders et une forte réutilisation de code entre artefacts (≈85% de similarité). Les attaquants cherchent notamment à obtenir des identifiants d’administrateurs par des moyens trompeurs, en combinant évasion avancée, charges chiffrées et services cloud Microsoft ☁️.
• Artefacts clés 🧩:
- TSVIPSrv.dll: loader modulaire exécuté via un service malveillant; utilise des ressources Base64 et un déchiffrement RC4 pour charger des fichiers .mui contenant les charges suivantes.
- HideFirstLetter.dll: déployé par DLL sideloading en abusant des exécutables légitimes wkspbroker.exe/wksprt.exe; s’authentifie auprès d’un tenant Microsoft via login.microsoftonline.com, interroge l’API Microsoft Graph pour obtenir des URLs SharePoint, puis emploie les valeurs retournées comme clés de décompression.
- tnsviewer.exe (TightVNC trojanisé): client TightVNC modifié, partie intégrante de l’écosystème modulaire, permettant un déploiement flexible des charges.
• Architecture et communication 🎯:
- Les « DreamLoaders » partagent une architecture modulaire facilitant le chaînage et le déploiement de payloads sur les hôtes compromis.
- La C2 s’appuie sur des services cloud Microsoft, avec authentification et échanges via les endpoints Microsoft mentionnés.
• IOCs observables (extraits) 📎:
- Fichiers/Modules: TSVIPSrv.dll, HideFirstLetter.dll, tnsviewer.exe (TightVNC trojanisé)
- Exécutables légitimes abusés: wkspbroker.exe, wksprt.exe
- Endpoints/Services: login.microsoftonline.com, Microsoft Graph API, SharePoint (URLs obtenues via Graph)
• TTPs (selon le rapport) 🕵️:
- DLL sideloading avec des exécutables légitimes
- Trojanisation d’applications (TightVNC)
- Charges chiffrées (Base64 + RC4) et chargement via fichiers .mui
- C2 via services Microsoft (authentification tenant, Graph, SharePoint)
- Vol d’identifiants d’administrateurs par moyens trompeurs
- Réutilisation de code importante (~85% de similarité entre composants)
Cet article est une analyse de menace visant à documenter l’écosystème « DreamLoaders » de Lazarus, ses artefacts, et ses techniques de déploiement et de communication.
🧠 TTPs et IOCs détectés
TTPs
[‘DLL sideloading avec des exécutables légitimes’, ‘Trojanisation d’applications (TightVNC)’, ‘Charges chiffrées (Base64 + RC4) et chargement via fichiers .mui’, ‘C2 via services Microsoft (authentification tenant, Graph, SharePoint)’, ‘Vol d’identifiants d’administrateurs par moyens trompeurs’, ‘Réutilisation de code importante (~85% de similarité entre composants)’]
IOCs
{‘fichiers_modules’: [‘TSVIPSrv.dll’, ‘HideFirstLetter.dll’, ’tnsviewer.exe (TightVNC trojanisé)’], ’executables_legitimes_abuses’: [‘wkspbroker.exe’, ‘wksprt.exe’], ’endpoints_services’: [’login.microsoftonline.com’, ‘Microsoft Graph API’, ‘SharePoint (URLs obtenues via Graph)’]}
🔗 Source originale : https://lab52.io/blog/dreamloaders/
🖴 Archive : https://web.archive.org/web/20251024130258/https://lab52.io/blog/dreamloaders/