Lazarus Group Expands Malware Arsenal With PondRAT, ThemeForestRAT, and RemotePE

L’expansion de Lazarus : Trois nouveaux outils malveillants pour la finance décentralisée

Le groupe Lazarus, connu pour ses liens avec la Corée du Nord, a étendu son arsenal de logiciels malveillants en ciblant le secteur de la finance décentralisée (DeFi) avec trois nouvelles menaces : PondRAT, ThemeForestRAT et RemotePE. Une campagne d’ingénierie sociale observée en 2024 a permis la compromission d’un système d’employé, ouvrant la voie à des activités de reconnaissance et de récolte d’identifiants au sein du réseau ciblé.

L’attaque débuterait par une usurpation d’identité d’un employé d’une société de trading sur Telegram, utilisant de faux sites de planification de réunions pour attirer la victime. Bien que le vecteur d’accès initial exact ne soit pas encore élucidé, il semblerait qu’un exploit jusqu’alors inconnu pour le navigateur Chrome ait été exploité. Un chargeur nommé PerfhLoader aurait ensuite déployé PondRAT, une variante simplifiée de POOLRAT. D’autres outils, tels qu’un enregistreur de frappe, un voleur d’identifiants et de cookies Chrome, et des programmes de proxy, ont également été observés.

PondRAT, déjà documenté depuis 2021, est un outil d’accès à distance (RAT) basique permettant la manipulation de fichiers et l’exécution de shellcode. Il communique via HTTP(S) avec un serveur de commande et contrôle (C2). ThemeForestRAT, lancé en mémoire soit par PondRAT soit par son propre chargeur, partage des similitudes avec un malware utilisé par Lazarus lors de l’attaque contre Sony Pictures en 2014. Il permet d’exécuter une vingtaine de commandes, allant de l’énumération de fichiers à l’injection de shellcode. Enfin, RemotePE, un RAT plus avancé écrit en C++, est déployé via un chargeur plus sophistiqué et serait réservé aux cibles de plus grande valeur. L’utilisation de PondRAT et ThemeForestRAT s’étalerait sur plusieurs mois avant le déploiement de RemotePE pour des opérations plus furtives et complexes.

Points clés :

• Le groupe Lazarus utilise trois nouveaux outils malveillants : PondRAT, ThemeForestRAT et RemotePE.
• La cible principale identifiée est le secteur de la finance décentralisée (DeFi).
• La campagne utilise des techniques d’ingénierie sociale et potentiellement des exploits zero-day dans le navigateur Chrome.
• Les outils sont utilisés de manière progressive, PondRAT servant de point d’entrée initial, suivi de ThemeForestRAT pour des tâches plus complexes, et enfin RemotePE pour une phase plus avancée et furtive.

Vulnérabilités :

• Aucune vulnérabilité spécifique avec un identifiant CVE n’est explicitement mentionnée dans l’article, mais il est fait état d’une “then-zero-day exploit in the Chrome browser” qui aurait pu être utilisée lors de l’attaque.

Recommandations :

Bien que l’article ne fournisse pas de recommandations directes et spécifiques pour se prémunir de ces menaces, les pratiques générales de cybersécurité restent pertinentes :

• Vigilance accrue face aux campagnes d’ingénierie sociale, y compris les usurpations d’identité sur les plateformes de messagerie.
• Mise à jour régulière des navigateurs web et des logiciels pour corriger les vulnérabilités connues.
• Utilisation de solutions de sécurité robustes pour détecter et bloquer les logiciels malveillants.
• Sensibilisation des employés aux menaces de phishing et aux techniques d’ingénierie sociale.
• Mise en place de contrôles d’accès stricts et de segmented networks pour limiter la propagation des menaces.

Source