Des pirates informatiques nord-coréens ciblent les industries de l’énergie et de l’aérospatiale avec le nouveau malware MISTPEN


18 septembre 2024Ravie LakshmananCyberespionnage / Malware

Un groupe de cyberespionnage lié à la Corée du Nord a été observé en train d’utiliser des leurres de phishing à caractère professionnel pour cibler des victimes potentielles dans les secteurs de l’énergie et de l’aérospatiale et les infecter avec une porte dérobée jusqu’alors non documentée baptisée MISTPEN.

Le groupe d’activité est suivi par Mandiant, propriété de Google, sous le nom UNC2970qui, selon lui, chevauche un groupe de menace connu sous le nom de TEMP.Hermit, également appelé Lazarus Group ou Diamond Sleet (anciennement Zinc).

L’acteur malveillant a pour habitude de cibler les institutions gouvernementales, de défense, de télécommunications et financières du monde entier depuis au moins 2013 pour recueillir des renseignements stratégiques qui favorisent les intérêts nord-coréens. Il est affilié au Bureau général de reconnaissance (RGB).

Cybersécurité

La société de renseignement sur les menaces a déclaré avoir observé que l’UNC2970 ciblait diverses entités situées aux États-Unis, au Royaume-Uni, aux Pays-Bas, à Chypre, en Suède, en Allemagne, à Singapour, à Hong Kong et en Australie.

« L’UNC2970 cible les victimes sous couvert d’offres d’emploi, se faisant passer pour un recruteur pour des entreprises de premier plan », a-t-il déclaré. dit dans une nouvelle analyse, l’ajout copie et modifie les descriptions de poste en fonction de leurs profils cibles.

« De plus, les descriptions de poste choisies ciblent les employés de niveau supérieur/manager. Cela suggère que l’acteur de la menace cherche à accéder à des informations sensibles et confidentielles qui sont généralement réservées aux employés de niveau supérieur. »

Les chaînes d’attaque, également connues sous le nom d’Opération Dream Job, impliquent l’utilisation de leurres de spear-phishing pour interagir avec les victimes par courrier électronique et WhatsApp dans le but d’instaurer la confiance, avant d’envoyer un fichier d’archive ZIP malveillant déguisé en description de poste.

Dans un retournement de situation intéressant, le fichier PDF de la description ne peut être ouvert qu’avec une version trojanisée d’une application de lecture PDF légitime appelée Sumatra PDF incluse dans l’archive pour livrer MISTPEN au moyen d’un lanceur appelé BURNBOOK.

Logiciel malveillant MISTPEN

Il convient de noter que cela n’implique pas une attaque de la chaîne d’approvisionnement et qu’il n’y a pas de vulnérabilité dans le logiciel. Il s’agit plutôt d’une ancienne version de Sumatra PDF qui a été réutilisée pour activer la chaîne d’infection.

Il s’agit d’une méthode éprouvée adoptée par le groupe de pirates informatiques dès 2022, Mandiant et Microsoft soulignant tous deux l’utilisation d’une large gamme de logiciels open source, notamment PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le programme d’installation du logiciel muPDF/Subliminal Recording pour ces attaques.

On pense que les acteurs de la menace demandent probablement aux victimes d’ouvrir le fichier PDF à l’aide du programme de visualisation PDF militarisé fourni pour déclencher l’exécution d’un fichier DLL malveillant, un lanceur C/C++ appelé BURNBOOK.

« Ce fichier est un dropper pour une DLL intégrée, ‘wtsapi32.dll’, qui est suivie comme TEARPAGE et utilisée pour exécuter la porte dérobée MISTPEN après le redémarrage du système », ont déclaré les chercheurs de Mandiant. « MISTPEN est une version trojanisée d’un plugin Notepad++ légitime, binhex.dll, qui contient une porte dérobée. »

Cybersécurité

TEARPAGE, un chargeur intégré à BURNBOOK, est responsable du décryptage et du lancement de MISTPEN. Implant léger écrit en C, MISTPEN est équipé pour télécharger et exécuter des fichiers exécutables portables (PE) récupérés à partir d’un serveur de commande et de contrôle (C2). Il communique via HTTP avec les URL Microsoft Graph suivantes.

Mandiant a également déclaré avoir découvert des artefacts plus anciens de BURNBOOK et MISTPEN, suggérant qu’ils sont améliorés de manière itérative pour ajouter davantage de fonctionnalités et leur permettre de passer inaperçus. Les premiers échantillons de MISTPEN ont également été découverts en utilisant des sites Web WordPress compromis comme domaines C2.

« L’acteur de la menace a amélioré son malware au fil du temps en implémentant de nouvelles fonctionnalités et en ajoutant une vérification de la connectivité réseau pour entraver l’analyse des échantillons », ont déclaré les chercheurs.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Gazouillement et LinkedIn pour lire davantage de contenu exclusif que nous publions.





ttn-fr-57