Les acteurs menaçants liés à la Corée du Nord représentent un tiers de toutes les activités de phishing ciblant le Brésil depuis 2020, l’émergence du pays en tant que puissance influente ayant attiré l’attention des groupes de cyberespionnage.
« Des acteurs soutenus par le gouvernement nord-coréen ont ciblé le gouvernement brésilien et les secteurs brésiliens de l’aérospatiale, de la technologie et des services financiers », ont déclaré les divisions Mandiant et Threat Analysis Group (TAG) de Google. dit dans un rapport conjoint publié cette semaine.
« Tout comme leurs intérêts dans d’autres régions, les sociétés de cryptomonnaie et de technologie financière ont fait l’objet d’une attention particulière, et au moins trois groupes nord-coréens ont ciblé les sociétés brésiliennes de cryptomonnaie et de technologie financière. »
Parmi ces groupes, l’un des plus importants est un acteur malveillant identifié sous le nom d’UNC4899 (alias Jade Sleet, PUKCHONG et TraderTraitor), qui a ciblé les professionnels de la cryptomonnaie avec une application Python trojanisée contenant des logiciels malveillants.
Les chaînes d’attaque consistent à atteindre des cibles potentielles via les réseaux sociaux et à envoyer un document PDF inoffensif contenant une description de poste pour une prétendue opportunité d’emploi dans une société de cryptomonnaie bien connue.
Si la cible exprime son intérêt pour l’offre d’emploi, l’acteur malveillant donne suite en envoyant un deuxième document PDF inoffensif contenant un questionnaire de compétences et des instructions pour effectuer une mission de codage en téléchargeant un projet depuis GitHub.
« Le projet était une application Python trojanisée permettant de récupérer les prix des cryptomonnaies, qui a été modifiée pour atteindre un domaine contrôlé par un attaquant afin de récupérer une charge utile de deuxième étape si des conditions spécifiques étaient remplies », ont déclaré les chercheurs de Mandiant et de TAG.
Ce n’est pas la première fois que l’UNC4899, attribué au piratage JumpCloud de 2023, exploite cette approche. En juillet 2023, GitHub a mis en garde contre une attaque d’ingénierie sociale visant à inciter les employés travaillant dans des sociétés de blockchain, de crypto-monnaie, de jeux d’argent en ligne et de cybersécurité à exécuter du code hébergé dans un référentiel GitHub à l’aide de faux packages NPM.
Les campagnes d’ingénierie sociale sur le thème de l’emploi sont un thème récurrent parmi les groupes de hackers nord-coréens, le géant de la technologie ayant également repéré une campagne orchestrée par un groupe qu’il suit sous le nom de PAEKTUSAN pour diffuser un malware téléchargeur C++ appelé AGAMEMNON via des pièces jointes Microsoft Word intégrées dans des e-mails de phishing. .
« Par exemple, PAEKTUSAN a créé un compte se faisant passer pour le directeur des ressources humaines d’une entreprise aérospatiale brésilienne et l’a utilisé pour envoyer des e-mails de phishing aux employés d’une deuxième entreprise aérospatiale brésilienne », ont noté les chercheurs, ajoutant que les campagnes sont cohérentes avec une activité de longue date. suivi comme Operation Dream Job.
« Dans une campagne distincte, PAEKTUSAN s’est fait passer pour un recruteur d’une grande entreprise aérospatiale américaine et a contacté des professionnels au Brésil et dans d’autres régions par courrier électronique et sur les réseaux sociaux au sujet d’opportunités d’emploi potentielles. »
Google a en outre déclaré avoir bloqué les tentatives d’un autre groupe nord-coréen baptisé PRONTO visant à cibler les diplomates avec des leurres liés à la dénucléarisation et à l’actualité pour les inciter à visiter des pages de collecte d’informations d’identification ou à fournir leurs informations de connexion afin de visualiser un supposé document PDF.
Cette évolution intervient quelques semaines après que Microsoft a mis en lumière un acteur malveillant d’origine nord-coréenne jusqu’alors non documenté, nommé Moonstone Sleet, qui a ciblé des individus et des organisations dans les secteurs des logiciels et des technologies de l’information, de l’éducation et de la base industrielle de la défense avec des attaques de ransomware et d’espionnage. .
Parmi les tactiques remarquables de Moonstone Sleet figure la distribution de logiciels malveillants via des packages NPM contrefaits. publié sur le registre npm, reflétant celui de UNC4899. Cela dit, les packages associés aux deux clusters portent des styles et des structures de code distincts.
« Les packages de Jade Sleet, découverts tout au long de l’été 2023, ont été conçus pour fonctionner par paires, chaque paire étant publiée par un compte utilisateur npm distinct pour distribuer leurs fonctionnalités malveillantes », ont déclaré les chercheurs de Checkmarx, Tzachi Zornstein et Yehuda Gelb. dit.
« En revanche, les packages publiés fin 2023 et début 2024 ont adopté une approche de package unique plus rationalisée qui exécuterait sa charge utile immédiatement après l’installation. Au deuxième trimestre 2024, les packages sont devenus plus complexes, les attaquants ajoutant de l’obscurcissement et ayant il cible également les systèmes Linux.
Quelles que soient les différences, cette tactique abuse de la confiance que les utilisateurs accordent aux référentiels open source, permettant aux acteurs de la menace d’atteindre un public plus large et augmentant la probabilité qu’un de leurs packages malveillants soit installé par inadvertance par des développeurs involontaires.
La divulgation est importante, notamment parce qu’elle marque une expansion du mécanisme de distribution de logiciels malveillants de Moonstone Sleet, qui reposait auparavant sur la diffusion de faux packages NPM via LinkedIn et des sites Web indépendants.
Ces résultats font également suite à la découverte d’une nouvelle campagne d’ingénierie sociale entreprise par le groupe Kimsuky, lié à la Corée du Nord, dans laquelle il a usurpé l’identité de l’agence de presse Reuters pour cibler des militants nord-coréens des droits de l’homme afin de diffuser des logiciels malveillants volant des informations sous couvert d’une demande d’interview, selon à Géniens.