Des acteurs nord-coréens de l’État-nation affiliés au Reconnaissance General Bureau (RGB) ont été attribués au piratage de JumpCloud suite à une erreur de sécurité opérationnelle (OPSEC) qui a révélé leur adresse IP réelle.
La société de renseignement sur les menaces Mandiant, propriété de Google, a attribué l’activité à un acteur menaçant qu’elle suit sous le nom d’UNC4899, qui partage probablement des chevauchements avec des clusters déjà surveillés comme Jade Sleet et TraderTraitor, un groupe avec une histoire de secteurs frappants de la blockchain et de la crypto-monnaie.
UNC4899 chevauche également APT43, une autre équipe de piratage associée à la République populaire démocratique de Corée (RPDC) qui a été démasquée au début du mois de mars alors qu’elle menait une série de campagnes pour recueillir des renseignements et siphonner la crypto-monnaie des entreprises ciblées.
Le mode opératoire du collectif contradictoire se caractérise par l’utilisation de Boîtiers Relais Opérationnels (ORB) utilisant des tunnels IPsec L2TP avec des fournisseurs de VPN commerciaux pour dissimuler le véritable point d’origine de l’attaquant, les services VPN commerciaux agissant comme dernier saut.
« Il y a eu de nombreuses occasions où les acteurs de la menace de la RPDC n’ont pas utilisé ce dernier saut, ou ne l’ont pas utilisé par erreur lors de la conduite d’actions sur des opérations sur le réseau de la victime », a déclaré la société. a dit dans une analyse publiée lundi, ajoutant qu’il a observé « UNC4899 se connectant directement à un ORB contrôlé par l’attaquant à partir de leur 175.45.178[.]sous-réseau 0/24. »
L’intrusion dirigée contre JumpCloud a eu lieu le 22 juin 2023, dans le cadre d’un campagne sophistiquée de harponnage qui a tiré parti de l’accès non autorisé pour violer moins de cinq clients et moins de 10 systèmes dans ce qu’on appelle une attaque de la chaîne d’approvisionnement logicielle.
Les conclusions de Mandiant sont basées sur une réponse à un incident initiée à la suite d’une cyberattaque contre l’un des clients impactés de JumpCloud, une entité de solutions logicielles sans nom, le point de départ étant un script Ruby malveillant (« init.rb ») exécuté via l’agent JumpCloud le 27 juin 2023.
Un aspect notable de l’incident est son ciblage de quatre systèmes Apple exécutant les versions 13.3 ou 13.4.1 de macOS Ventura, soulignant l’investissement continu des acteurs nord-coréens dans le développement de logiciels malveillants spécialement conçus pour la plate-forme au cours des derniers mois.
« L’accès initial a été obtenu en compromettant JumpCloud et en insérant du code malveillant dans leur cadre de commandes », a expliqué la société. « Dans au moins un cas, le code malveillant était un script Ruby léger exécuté via l’agent JumpCloud. »
Le script, pour sa part, est conçu pour télécharger et exécuter une charge utile de deuxième étape nommée FULLHOUSE.DOORED, en l’utilisant comme un conduit pour déployer des logiciels malveillants supplémentaires tels que STRATOFEAR et TIEDYE, après quoi les charges utiles précédentes ont été supprimées du système dans une tentative de dissimuler les pistes –
- FULLHOUSE.PORTE – Porte dérobée de première étape basée sur AC/C++ qui communique via HTTP et prend en charge l’exécution de commandes shell, le transfert de fichiers, la gestion de fichiers et l’injection de processus
- STRATOFEAR – Un implant modulaire de deuxième étape qui est principalement conçu pour collecter des informations système ainsi que pour récupérer et exécuter plus de modules à partir d’un serveur distant ou chargés à partir d’un disque
- TIEDYE – Un exécutable Mach-O de deuxième étape qui peut communiquer avec un serveur distant pour exécuter des charges utiles supplémentaires, récolter des informations système de base et exécuter des commandes shell
TIEDYE présenterait également des similitudes avec RABBITHUNT, une porte dérobée écrite en C++ qui communique via un protocole binaire personnalisé sur TCP et qui est capable de reverse shell, de transfert de fichiers, de création de processus et de terminaison de processus.
« La campagne ciblant JumpCloud et la compromission de la chaîne d’approvisionnement de la RPDC précédemment signalée au début de cette année, qui a affecté l’application Trading Technologies X_TRADER et le logiciel 3CX Desktop App, illustrent les effets en cascade de ces opérations pour accéder aux fournisseurs de services afin de compromettre les victimes en aval », a déclaré Mandiant.
« Les deux opérations soupçonnent des liens avec des acteurs de la RPDC motivés financièrement, ce qui suggère que les opérateurs de la RPDC mettent en œuvre des TTP de la chaîne d’approvisionnement pour cibler des entités sélectionnées dans le cadre d’efforts accrus pour cibler la crypto-monnaie et les actifs liés à la fintech. »
Le développement intervient quelques jours après que GitHub a averti d’une attaque d’ingénierie sociale montée par l’acteur TraderTraitor pour inciter les employés travaillant dans des sociétés de blockchain, de crypto-monnaie, de jeu en ligne et de cybersécurité à exécuter du code hébergé dans un référentiel GitHub qui s’appuyait sur des packages malveillants hébergés sur npm.
Il a été constaté que la chaîne d’infection exploite les dépendances malveillantes de npm pour télécharger une charge utile de deuxième étape inconnue à partir d’un domaine contrôlé par un acteur. Les colis ont depuis été retirés et les comptes suspendus.
« Les packages identifiés, publiés par paires, nécessitaient une installation dans un ordre spécifique, récupérant ensuite un jeton facilitant le téléchargement d’une charge utile malveillante finale à partir d’un serveur distant », a déclaré Phylum. a dit dans une nouvelle analyse détaillant la découverte de nouveaux modules npm utilisés dans la même campagne.
« La vaste surface d’attaque présentée par ces écosystèmes est difficile à ignorer. Il est pratiquement impossible pour un développeur dans le monde d’aujourd’hui de ne pas s’appuyer sur des packages open source. Cette réalité est généralement exploitée par des acteurs de la menace visant à maximiser leur rayon d’action pour une diffusion généralisée de logiciels malveillants, tels que des voleurs ou des rançongiciels ».
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Pyongyang utilise depuis longtemps des braquages de crypto-monnaie pour alimenter son programme d’armes nucléaires sanctionné, tout en orchestrant simultanément des attaques de cyberespionnage pour collecter des renseignements stratégiques à l’appui des priorités politiques et de sécurité nationale du régime.
« L’appareil de renseignement de la Corée du Nord possède la flexibilité et la résilience nécessaires pour créer des cyber-unités basées sur les besoins du pays », a déclaré Mandiant. indiqué l’année dernière. « De plus, des chevauchements dans l’infrastructure, les logiciels malveillants et les tactiques, techniques et procédures indiquent qu’il existe des ressources partagées entre leurs cyber-opérations. »
Le groupe Lazarus reste un acteur de menace prolifique parrainé par l’État à cet égard, lançant constamment des attaques conçues pour tout livrer, des chevaux de Troie d’accès à distance aux rançongiciels en passant par les portes dérobées spécialement conçues, et démontrant également une volonté de changer de tactiques et de techniques pour entraver l’analyse et rendre leur suivi beaucoup plus difficile.
Cela est illustré par sa capacité non seulement à compromettre les serveurs Web Microsoft Internet Information Service (IIS) vulnérables, mais également à les utiliser comme centres de distribution de logiciels malveillants dans les attaques de points d’eau visant la Corée du Sud, selon le AhnLab Security Emergency Response Center (ASEC).
« L’acteur de la menace utilise en permanence des attaques de vulnérabilité pour l’accès initial aux systèmes non corrigés », ASEC a dit. « C’est l’un des groupes de menaces les plus dangereux et les plus actifs au monde. »
Un deuxième groupe soutenu par le RVB qui se concentre également sur la collecte d’informations sur les événements géopolitiques et les négociations affectant les intérêts de la RPDC est Kimsuky, qui a été détecté à l’aide Bureau à distance Chrome pour réquisitionner à distance des hôtes déjà compromis par des portes dérobées telles qu’AppleSeed.
« Le groupe Kimsuky APT lance en permanence des attaques de spear-phishing contre les utilisateurs coréens », ASEC souligné ce mois-ci. « Ils utilisent généralement des méthodes de distribution de logiciels malveillants via des fichiers de documents déguisés joints à des e-mails, et les utilisateurs qui ouvrent ces fichiers peuvent perdre le contrôle de leur système actuel. »