L’acteur de menace lié à la Corée du Nord, connu sous le nom de Kimsuky, a été lié à une nouvelle série d’attaques ciblant le personnel universitaire, les chercheurs et les professeurs à des fins de collecte de renseignements.
Entreprise de cybersécurité Resilience dit elle a identifié l’activité fin juillet 2024 après avoir observé une erreur de sécurité opérationnelle (OPSEC) commise par les pirates.
Kimsuky, également connu sous les noms d’APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail et Velvet Chollima, n’est qu’une des innombrables équipes cybernétiques offensives opérant sous la direction du gouvernement et de l’armée nord-coréens.
Il est également très actif, s’appuyant souvent sur des campagnes de spear-phishing comme point de départ pour fournir un ensemble toujours plus étendu d’outils personnalisés permettant d’effectuer des reconnaissances, de voler des données et d’établir un accès à distance persistant aux hôtes infectés.
Les attaques se caractérisent également par l’utilisation d’hôtes compromis comme infrastructure de préparation pour déployer une version obscurcie du shell Web Green Dinosaur, qui est ensuite utilisée pour effectuer des opérations sur les fichiers. L’utilisation du shell Web par Kimuksy était précédemment mis en évidence par le chercheur en sécurité blackorbird en mai 2024.
L’accès offert par Green Dinosaur est ensuite utilisé abusivement pour télécharger des pages de phishing prédéfinies, conçues pour imiter les portails de connexion légitimes de Naver et de diverses universités comme l’Université Dongduk, l’Université de Corée et l’Université Yonsei, dans le but de capturer leurs informations d’identification.
Ensuite, les victimes sont redirigées vers un autre site qui pointe vers un document PDF hébergé sur Google Drive qui prétend être une invitation au forum d’août de l’Asan Institute for Policy Studies.
« De plus, sur les sites de phishing de Kimsuky, il existe une boîte à outils de phishing non ciblée et spécifique pour collecter des comptes Naver », ont déclaré les chercheurs de Resilience.
« Cette boîte à outils est un proxy rudimentaire semblable à Evilginx pour voler les cookies et les informations d’identification des visiteurs et affiche des fenêtres contextuelles indiquant aux utilisateurs qu’ils doivent se reconnecter car la communication avec le serveur a été interrompue. »
L’analyse a également mis en lumière une coutume PHPMailer outil utilisé par Kimsuky appelé SendMail, qui est utilisé pour envoyer des e-mails de phishing aux cibles utilisant les comptes Gmail et Daum Mail.
Pour lutter contre cette menace, il est recommandé aux utilisateurs d’activer l’authentification multifacteur (MFA) résistante au phishing et d’examiner les URL avant de se connecter.