Nouveaux échantillons du malware LAZARUS / FASTCASH
Lazarus est un groupe très actif impliqué dans la cybercriminalité et l'espionnage. Ils sont connus pour nombre de cyberattaques. Lazarus a été aussi impliqué dans des attaques à motivation financière comme le ransomware WannaCry.
Dans le cadre de la surveillance continue des opérations de retrait ATM de Lazarus / FASTCash, Visa Payement Fraud Disruption (PFD) a identifié de nouveaux échantillons de logiciels malveillants téléchargés le 11 Mars 2020 dans un référentiel de logiciels malveillants open source attribués à Lazarus / FASTCash ou APT38. FASTCash compromet les réseaux d'institutions financières et se livre à des retraits frauduleux de GAB tant au niveau national qu'international, ainsi qu'à des transferts interbancaires frauduleux.
Les fichiers nouvellement identifiés sont des backdoors de bibliothèque de liens dynamiques (DLL) utilisés par les acteurs de la menace pour obtenir un accès distant à une machine ciblée. Ces échantillons spécifiques ne sont actuellement attibuables à aucune autre attaque connue du public. Cependant, PFD connaît la même variante de logiciel malveillant utilisé par Lazarus / FASTCash pour cibler les réseaux de banques émettrices aux fins des opérations de retrait ATM.
Visa recommande aux émetteurs et aux acquéreurs de distributeurs de billets de prendre les mesures suivantes afin d'atténuer ces menaces :
- Vérifiez les réseaux locaux pour les Indicateurs de compromissions (IOC) ;
- Vérifiez la mise en oeuvre des correctifs de sécurité requis ;
- Reportez-vous au Document de VISA : What to do if Compromised (WTDIC) ;
- Mettre en oeuvre une surveillance en temps réel des distributeurs automatiques de billets;
- Assurez-vous que les systèmes de détection des intrusions sont mis à jour pour surveiller la méthodologie de cette alerte ;
- Suivre les meilleures pratiques de sécurité des réseaux et l'information
Pour plus d'informations sur les IOC et les mesures de sécurité à prendre, veuillez consulter le Bulletin d'avis de Sécurité Informatique fourni par le bjCSIRT.
Source document : bjCSIRT