Le groupe Lazarus, lié à la Corée du Nord (alias Hidden Cobra ou TEMP.Hermit), a été observé en train d’utiliser des versions trojanisées d’applications Virtual Network Computing (VNC) comme leurres pour cibler l’industrie de la défense et les ingénieurs nucléaires dans le cadre d’une campagne de longue durée connue sous le nom de Opération Emploi de Rêve.
« L’acteur menaçant incite les demandeurs d’emploi sur les réseaux sociaux à ouvrir des applications malveillantes pour de faux entretiens d’embauche », Kaspersky dit dans son rapport sur les tendances APT pour le troisième trimestre 2023.
« Pour éviter d’être détectée par des solutions de sécurité basées sur le comportement, cette application de porte dérobée fonctionne discrètement, s’activant uniquement lorsque l’utilisateur sélectionne un serveur dans le menu déroulant du client VNC cheval de Troie. »
Une fois lancée par la victime, l’application contrefaite est conçue pour récupérer des charges utiles supplémentaires, y compris un malware connu du groupe Lazarus baptisé Client LPECdoté de fonctionnalités permettant de profiler les hôtes compromis.
L’adversaire a également déployé une version mise à jour de COPPERHEDGE, une porte dérobée connue pour exécuter des commandes arbitraires, effectuer une reconnaissance du système et exfiltrer des données, ainsi qu’un malware sur mesure spécifiquement destiné à transmettre des fichiers d’intérêt à un serveur distant.
Les cibles de la dernière campagne comprennent des entreprises directement impliquées dans la fabrication de défense, notamment des systèmes radar, des véhicules aériens sans pilote (UAV), des véhicules militaires, des navires, des armes et des entreprises maritimes.
L’Opération Dream Job fait référence à une série d’attaques orchestrées par le groupe de piratage informatique nord-coréen dans lesquelles des cibles potentielles sont contactées via des comptes suspects via diverses plateformes telles que LinkedIn, Telegram et WhatsApp sous prétexte d’offrir des opportunités d’emploi lucratives pour les inciter à installer des logiciels malveillants. .
À la fin du mois dernier, ESET a révélé les détails d’une attaque du groupe Lazarus visant une entreprise aérospatiale anonyme en Espagne, au cours de laquelle des employés de l’entreprise ont été approchés par l’acteur menaçant se faisant passer pour un recruteur de Meta sur LinkedIn pour livrer un implant nommé LightlessCan.
Le groupe Lazarus n’est que l’un des nombreux programmes offensifs originaires de Corée du Nord qui ont été liés au cyberespionnage et aux vols à motivation financière.
Un autre groupe de piratage important est APT37 (alias ScarCruft), qui fait partie du ministère de la Sécurité de l’État, contrairement à d’autres groupes d’activités de menace – à savoir APT43, Kimsuky et Lazarus Group (et ses sous-groupes Andariel et BlueNoroff) – qui sont affiliés. avec le Bureau Général de Reconnaissance (RGB).
« Alors que différents groupes de menaces partagent des outils et du code, l’activité des menaces nord-coréennes continue de s’adapter et de changer pour créer des logiciels malveillants sur mesure pour différentes plates-formes, notamment Linux et macOS », a déclaré Mandiant, propriété de Google. divulgué plus tôt ce mois-ci, soulignant leur évolution en termes d’adaptabilité et de complexité.
ScarCruft, selon Kaspersky, a ciblé une société commerciale liée à la Russie et à la Corée du Nord en utilisant une nouvelle chaîne d’attaque de phishing qui a abouti à la diffusion du logiciel malveillant RokRAT (alias BlueLight), soulignant les tentatives en cours du royaume ermite de cibler la Russie.
De plus, un autre changement notable est le chevauchement des infrastructures, des outils et du ciblage entre diverses sociétés de piratage nord-coréennes comme Andariel, APT38, Lazarus Group et APT43, ce qui brouille les efforts d’attribution et indique une rationalisation des activités contradictoires.
Cela s’est également accompagné d’un « intérêt accru pour le développement de logiciels malveillants macOS sur des plateformes de porte dérobée de cibles de grande valeur au sein des secteurs de la cryptomonnaie et de la blockchain », a déclaré Mandiant.