Les agences gouvernementales allemandes et sud-coréennes ont mis en garde contre les cyberattaques montées par un acteur menaçant suivi comme Kimsuky utiliser des extensions de navigateur malveillantes pour voler les boîtes de réception Gmail des utilisateurs.
Le conseil conjoint vient de l’appareil de renseignement intérieur allemand, de l’Office fédéral pour la protection de la Constitution (BfV) et du Service national de renseignement sud-coréen de la République de Corée (NIS).
Les intrusions sont conçues pour frapper « les experts des problèmes de la péninsule coréenne et de la Corée du Nord » par le biais de campagnes de harponnage, ont noté les agences.
Kimsuky, également connu sous le nom de Black Banshee, Thallium et Velvet Chollima, fait référence à un élément subordonné au sein du Bureau général de reconnaissance de la Corée du Nord et est connu pour « collecter des renseignements stratégiques sur les événements géopolitiques et les négociations affectant les intérêts de la RPDC ».
Les principales cibles d’intérêt incluent les entités aux États-Unis et en Corée du Sud, en particulier les personnes travaillant au sein des organisations gouvernementales, militaires, manufacturières, universitaires et des groupes de réflexion.
« Les activités de cet acteur de la menace comprennent la collecte de données financières, personnelles et client spécifiquement auprès des industries universitaires, manufacturières et de la sécurité nationale en Corée du Sud », a déclaré la société de renseignement sur les menaces Mandiant, propriété de Google. divulgué l’année dernière.
Les attaques récentes orchestrées par le groupe suggèrent une expansion de sa cyberactivité pour englober des souches de logiciels malveillants Android telles que FastFire, FastSpy, FastViewer et RambleOn.
L’utilisation d’extensions de navigateur basées sur Chromium à des fins de cyberespionnage n’est pas nouvelle pour Kimsuky, qui a déjà utilisé des techniques similaires dans le cadre de campagnes suivies comme Stolen Pencil et SharpTongue.
L’opération SharpTongue chevauche également le dernier effort en ce sens que ce dernier est également capable de voler le contenu des e-mails d’une victime à l’aide du module complémentaire malveillant, qui, à son tour, exploite l’API DevTools du navigateur pour exécuter la fonction.
Mais dans une escalade des attaques mobiles de Kimsuky, l’acteur menaçant a été observé se connectant aux comptes Google des victimes en utilisant des informations d’identification déjà obtenues à l’avance grâce à des tactiques de phishing, puis en installant une application malveillante sur les appareils liés aux comptes.
« L’attaquant se connecte avec le compte Google de la victime sur le PC, accède au Google Play Store et demande l’installation d’une application malveillante », ont expliqué les agences. « À ce stade, le smartphone de la cible lié au compte Google est sélectionné comme appareil sur lequel installer l’application malveillante. »
On soupçonne que les applications, qui intègrent FastFire et FastViewer, sont distribuées à l’aide d’une fonctionnalité de Google Play connue sous le nom de « tests internes » qui permet aux développeurs tiers de distribuer leurs applications à un » petit ensemble de testeurs de confiance « .
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.
Un point qui mérite d’être mentionné ici est que ces tests d’application internes, qui sont effectués avant la mise en production de l’application, ne peut pas dépasser 100 utilisateurs par applicationce qui indique que la campagne est de nature extrêmement ciblée.
Les deux applications contenant des logiciels malveillants sont dotées de capacités permettant de récolter un large éventail d’informations sensibles en abusant des services d’accessibilité d’Android. Les noms des packages APK des applications sont répertoriés ci-dessous –
- com.viewer.fastsecure (FastFire)
- com.tf.thinkdroid.secviewer (FastViewer)
La divulgation intervient alors que l’acteur nord-coréen de la menace persistante avancée (APT) surnommé ScarCruft a été lié à différents vecteurs d’attaque qui sont utilisés pour fournir des portes dérobées basées sur PowerShell sur des hôtes compromis.