Bulletin d'information sur le malware HOPLIGHT

Le DHS (Department of Homeland Security) et le FBI (Federal Bureau of Investigation) ont publié un bulletin d'information concernant un nouveau logiciel malveillant (malware) attribué à l'organisation cybercriminelle Nord Coréenne "Lazarus Group" aussi connue sur le nom "Hidden Cobra".

Ce logiciel malveillant espion appelé "Hoplight" est capable de se connecter de manière sécurisée à un serveur et d'en prendre le contrôle ou de télécharger des fichiers de façon illicite.  En effet, le logiciel malveillant peut effectuer un certain nombre d'actions de contrôle à distance ou d'espionnage sur le périphérique infecté, comme : 

  • Lire/écrire sur des fichiers locaux ;
  • Créer, arrêter ou modifier un processus ou un paramètre des clefs de registre ;
  • Se connecter à un périphérique distant pour télécharger ou téléverser des fichiers.

Mode opératoire

Le logiciel malveillant est constitué de 9 fichiers conçus pour fonctionner sans que les administrateurs et les logiciels de sécurité les détectent lors d'une attaque.
Certains fichiers jouent le rôle de proxy afin de masquer les connexions réseaux entre les logiciels malveillants et les périphériques distants.

Hoplight utilise un certificat SSL valide pour créer la connexion sécurisée, puis un des fichiers tente d'ouvrir une connexion vers des périphériques malveillants distants afin de transmettre les informations volées. Le certificat semble être un certificat SSL public de Naver, un moteur de recherche Coréen qui fournit également des services web à plusieurs clients dans le monde.

Indicateurs de compromission

En parallèle, le document fournit des informations complémentaires afin d'identifier si un système d'information a été infecté, comme : 

  • Adresses IP ;
  • Les URL malveillantes ;
  • Charges malveillantes ;
  • Certificats.

Rappel des bonnes pratiques

Afin d'améliorer la sécurité de son système d'information, le DHS et le FBI recommande aux administrateurs et responsables SI d'effectuer les actions suivantes (liste non exhaustive) : 

  • Maintenir à jour les signatures et les moteurs antivirus.
  • Maintenir les correctifs du système d'exploitation à jour.
  • Désactiver les services de partage de fichiers et d'imprimantes. Si ces services sont requis, utiliser des mots de passe forts ou l'authentification Active Directory.
  • Limiter la capacité des utilisateurs (permissions) pour installer et exécuter des applications logicielles indésirables. N'ajouter pas d'utilisateurs au groupe des administrateurs locaux, sauf si nécessaire.
  • Appliquer une politique de mots de passe forts et changer régulièrement vos mots de passe.
  • Faire preuve de vigilance avant d'ouvrir des pièces jointes dans un courrier électronique, même si la pièce jointe est attendue et que l'expéditeur semble être de confiance.
  • Activer un pare-feu personnel sur les postes de travail de votre entreprise, configurer-le pour refuser les demandes de connexion non sollicitées.
  • Désactiver les services inutiles sur les postes de travail et les serveurs de votre entreprise.
  • Rechercher et supprimer les pièces jointes suspectes (assurez-vous que l'extension de la pièce jointe analysée correspond à l'en-tête du fichier).
  • Surveiller les habitudes de navigation des utilisateurs sur le Web ; restreindre l'accès aux sites dont le contenu est suspect.
  • Prendre des mesures de sécurité supplémentaires lors de l'utilisation de supports amovibles (par exemple, clés USB, lecteurs externes, CD, etc.).
  • Analyser tous les logiciels téléchargés sur Internet avant de les exécuter.
  • Maintenir une cyberveille pour identifier les dernières menaces et les actions appropriées à mettre en œuvre.