L’acteur menaçant nord-coréen connu sous le nom de Kimsuky a été observé ciblant des instituts de recherche en Corée du Sud dans le cadre d’une campagne de spear phishing dans le but ultime de distribuer des portes dérobées sur des systèmes compromis.
« L’acteur malveillant utilise finalement une porte dérobée pour voler des informations et exécuter des commandes », a déclaré l’AhnLab Security Emergency Response Center (ASEC). dit dans une analyse publiée la semaine dernière.
Les chaînes d’attaque commencent par une déclaration d’importation leurre qui est en fait un fichier JSE malveillant contenant un script PowerShell obscurci, une charge utile codée en Base64 et un document PDF leurre.
L’étape suivante consiste à ouvrir le fichier PDF comme tactique de diversion, tandis que le script PowerShell est exécuté en arrière-plan pour lancer la porte dérobée.
Le logiciel malveillant, quant à lui, est configuré pour collecter des informations sur le réseau et d’autres données pertinentes (c’est-à-dire le nom d’hôte, le nom d’utilisateur et la version du système d’exploitation) et transmettre les détails codés à un serveur distant.
Il est également capable d’exécuter des commandes, d’exécuter des charges utiles supplémentaires et de s’arrêter lui-même, le transformant en une porte dérobée pour l’accès à distance à l’hôte infecté.
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
Kimsuky, actif depuis au moins 2012, a commencé par cibler des entités gouvernementales sud-coréennes, des groupes de réflexion et des individus identifiés comme experts dans divers domaines, avant d’étendre son empreinte victimologique à l’Europe, à la Russie et aux États-Unis.
Plus tôt ce mois-ci, le département du Trésor américain a sanctionné Kimsuky pour avoir collecté des renseignements destinés à soutenir les objectifs stratégiques de la Corée du Nord, notamment les événements géopolitiques, la politique étrangère et les efforts diplomatiques.
« Kimsuky a concentré ses activités de collecte de renseignements sur les questions de politique étrangère et de sécurité nationale liées à la péninsule coréenne, à la politique nucléaire et aux sanctions », a déclaré la société de cybersécurité ThreatMon. noté dans un récent rapport.
Le groupe parrainé par l’État a également été observé en train d’exploiter des URL piégées qui, lorsqu’elles sont cliquées, téléchargent une fausse archive ZIP se faisant passer pour une mise à jour du navigateur Chrome afin de déployer un VBScript malveillant à partir de Google Drive qui utilise le stockage cloud comme canal de transfert de données. exfiltration et commandement et contrôle (C2).
Le groupe Lazarus se lance dans le phishing sur Telegram
Ce développement intervient alors que la société de sécurité blockchain SlowMist a impliqué le célèbre groupe soutenu par la Corée du Nord appelé Lazarus Group dans une vaste campagne de phishing sur Telegram ciblant le secteur des crypto-monnaies.
« Plus récemment, ces pirates ont intensifié leurs tactiques en se faisant passer pour des institutions d’investissement réputées pour exécuter des escroqueries par phishing contre diverses équipes de projets de cryptomonnaie », a déclaré la société basée à Singapour. dit.
Après avoir établi un rapport, les cibles sont trompées et téléchargent un script malveillant sous couvert de partager un lien de réunion en ligne qui facilite le vol de crypto.
Cela fait également suite à un rapport de l’Agence de police métropolitaine de Séoul (SMPA) selon lequel accusé le sous-groupe Lazarus, nommé Andariel, qui vole des informations techniques sur les systèmes d’armes anti-aériennes auprès d’entreprises de défense nationales et blanchit les recettes des ransomwares en Corée du Nord.
On estime que plus de 250 fichiers représentant 1,2 téraoctets ont été volés lors de ces attaques. Pour brouiller les pistes, l’adversaire aurait utilisé comme point d’entrée les serveurs d’une entreprise locale qui « loue des serveurs à des abonnés aux identités floues ».
En outre, le groupe a extorqué 470 millions de wons (356 000 dollars) de bitcoins à trois sociétés sud-coréennes lors d’attaques de ransomware et les a blanchis via des échanges d’actifs virtuels tels que Bithumb et Binance. Il convient de noter qu’Andariel a été associé au déploiement du ransomware Maui dans le passé.