Les chercheurs en cybersécurité continuent de mettre en garde contre les tentatives des acteurs malveillants nord-coréens de cibler des victimes potentielles sur LinkedIn pour diffuser un logiciel malveillant appelé RustDoor.
Le dernier avis provient de Jamf Threat Labs, qui a déclaré avoir repéré une tentative d’attaque dans laquelle un utilisateur a été contacté sur le réseau social professionnel en prétendant être un recruteur pour un échange de crypto-monnaie décentralisé légitime (DEX) appelé STON.fi.
Cette activité cybernétique malveillante fait partie d’une campagne à plusieurs volets lancée par des acteurs de la cybermenace soutenus par la République populaire démocratique de Corée (RPDC) pour infiltrer des réseaux d’intérêt sous prétexte de mener des entretiens ou des missions de codage.
Les secteurs financiers et des cryptomonnaies comptent parmi les principales cibles des adversaires parrainés par l’État qui cherchent à générer des revenus illicites et à atteindre un ensemble d’objectifs en constante évolution en fonction des intérêts du régime.
Ces attaques se manifestent sous la forme de « campagnes d’ingénierie sociale hautement ciblées et difficiles à détecter » visant les employés de la finance décentralisée (« DeFi »), des cryptomonnaies et des entreprises similaires, comme l’a récemment souligné le Federal Bureau of Investigation (FBI) américain dans un avis.
L’un des indicateurs notables de l’activité d’ingénierie sociale nord-coréenne concerne les demandes d’exécution de code ou de téléchargement d’applications sur des appareils appartenant à l’entreprise ou sur des appareils ayant accès au réseau interne d’une entreprise.
Un autre aspect qui mérite d’être mentionné est que de telles attaques impliquent également « des demandes de réalisation d’un « test préalable à l’emploi » ou d’un exercice de débogage impliquant l’exécution de packages Node.js non standard ou inconnus, de packages PyPI, de scripts ou de référentiels GitHub ».
Des cas mettant en œuvre de telles tactiques ont été largement documentés ces dernières semaines, soulignant une évolution persistante des outils utilisés dans ces campagnes contre des cibles.
La dernière chaîne d’attaque détectée par Jamf consiste à inciter la victime à télécharger un projet Visual Studio piégé dans le cadre d’un prétendu défi de codage qui intègre des commandes bash pour télécharger deux charges utiles de deuxième étape différentes (« VisualStudioHelper » et « zsh_env ») avec des fonctionnalités identiques.
Ce malware de deuxième étape est RustDoor, que la société suit sous le nom de Thiefbucket. Au moment de la rédaction de cet article, aucun des moteurs anti-malware n’a signalé le fichier de test de codage zippé comme malveillant. Il a été téléchargé sur la plateforme VirusTotal le 7 août 2024.
« Les fichiers de configuration intégrés dans les deux échantillons de malware distincts montrent que VisualStudioHelper persistera via cron tandis que zsh_env persistera via le fichier zshrc », ont déclaré les chercheurs Jaron Bradley et Ferdous Saljooki.
RustDoor, une porte dérobée macOS, a été documentée pour la première fois par Bitdefender en février 2024 dans le cadre d’une campagne de malware ciblant les entreprises de cryptomonnaie. Une analyse ultérieure de S2W a révélé une variante de Golang baptisée GateDoor, destinée à infecter les machines Windows.
Les conclusions de Jamf sont importantes, non seulement parce qu’elles marquent la première fois que le malware est formellement attribué aux acteurs de la menace nord-coréenne, mais aussi parce que le malware est écrit en Objective-C.
VisualStudioHelper est également conçu pour agir comme un voleur d’informations en collectant les fichiers spécifiés dans la configuration, mais seulement après avoir invité l’utilisateur à saisir son mot de passe système en le faisant passer pour s’il provenait de l’application Visual Studio pour éviter d’éveiller les soupçons.
Cependant, les deux charges utiles fonctionnent comme une porte dérobée et utilisent deux serveurs différents pour les communications de commande et de contrôle (C2).
« Les acteurs de la menace continuent de rester vigilants et de trouver de nouveaux moyens de traquer ceux qui évoluent dans le secteur de la cryptographie », ont déclaré les chercheurs. « Il est important de former vos employés, y compris vos développeurs, à hésiter à faire confiance à ceux qui se connectent sur les réseaux sociaux et demandent aux utilisateurs d’exécuter des logiciels de tout type.
« Ces stratagèmes d’ingénierie sociale mis en œuvre par la RPDC proviennent de personnes qui maîtrisent bien l’anglais et qui entrent dans la conversation après avoir bien étudié leur cible. »