Des acteurs étatiques affiliés à la Corée du Nord ont été observés utilisant des attaques de spear phishing pour fournir un assortiment de portes dérobées et d’outils tels que AppleSeed, Meterpreter et TinyNuke pour prendre le contrôle de machines compromises.
La société de cybersécurité AhnLab, basée en Corée du Sud, a attribué cette activité à un groupe de menaces persistantes avancées connu sous le nom de Kimsuky.
« Un point notable concernant les attaques utilisant AppleSeed est que des méthodes d’attaque similaires ont été utilisées pendant de nombreuses années sans aucun changement significatif dans les logiciels malveillants utilisés ensemble », a déclaré l’AhnLab Security Emergency Response Center (ASEC). dit dans une analyse publiée jeudi.
Kimsuky, actif depuis plus d’une décennie, est connu pour cibler un large éventail d’entités en Corée du Sud, avant d’élargir son champ d’action à d’autres zones géographiques en 2017. Il a été sanctionné par le gouvernement américain à la fin du mois dernier pour avoir collecté des renseignements pour soutenir le Nord. Les objectifs stratégiques de la Corée.
De l’UTILISATEUR à l’ADMINISTE : découvrez comment les pirates informatiques prennent le contrôle total
Découvrez les tactiques secrètes utilisées par les pirates pour devenir administrateurs, comment les détecter et les bloquer avant qu’il ne soit trop tard. Inscrivez-vous à notre webinaire dès aujourd’hui.
Les campagnes d’espionnage des acteurs malveillants sont réalisées au moyen d’attaques de spear phishing contenant des documents leurres malveillants qui, une fois ouverts, aboutissent au déploiement de diverses familles de logiciels malveillants.
L’une des portes dérobées Windows les plus importantes utilisées par Kimsuky est AppleSeed (alias JamBog), un malware DLL qui a été utilisé dès mai 2019 et a été mis à jour avec une version Android ainsi qu’une nouvelle variante écrite en Golang appelée. AlphaSeed.
Graine de pomme est conçu pour recevoir des instructions d’un serveur contrôlé par un acteur, supprimer des charges utiles supplémentaires et exfiltrer des données sensibles telles que des fichiers, des frappes au clavier et des captures d’écran. AlphaSeed, comme AppleSeed, intègre des fonctionnalités similaires mais présente également des différences cruciales.
« AlphaSeed a été développé à Golang et utilise chromé pour les communications avec le [command-and-control] serveur », a déclaré l’ASEC, contrairement à AppleSeed, qui s’appuie sur les protocoles HTTP ou SMTP. Chromedp est une bibliothèque Golang populaire pour interagir avec le navigateur Google Chrome en mode sans tête via le Protocole DevTools.
Il existe des preuves suggérant que Kimsuky a utilisé AlphaSeed dans des attaques depuis octobre 2022, certaines intrusions délivrant à la fois AppleSeed et AlphaSeed sur le même système cible au moyen d’un compte-gouttes JavaScript.
L’adversaire déploie également des logiciels malveillants Meterpreter et VNC tels que TightVNC et TinyNuke (alias Nuclear Bot), qui peuvent être exploités pour prendre le contrôle du système affecté.
Cette évolution intervient alors que Nisos a déclaré avoir découvert un certain nombre de personnalités en ligne sur LinkedIn et GitHub, probablement utilisées par les travailleurs des technologies de l’information (TI) de Corée du Nord pour obtenir frauduleusement des emplois à distance auprès d’entreprises aux États-Unis et agir comme une source de revenus pour le régime et contribuer à financer ses priorités économiques et sécuritaires.
« Les personnages prétendaient souvent être compétents dans le développement de plusieurs types d’applications différents et avoir de l’expérience dans les transactions cryptographiques et blockchain », a déclaré la société de renseignement sur les menaces. dit dans un rapport publié plus tôt ce mois-ci.
« En outre, tous les personnages recherchaient des postes à distance uniquement dans le secteur technologique et se concentraient uniquement sur l’obtention d’un nouvel emploi. De nombreux comptes ne sont actifs que pendant une courte période avant d’être désactivés. »
Ces dernières années, les acteurs nord-coréens ont lancé une série d’attaques sur plusieurs fronts, mêlant de nouvelles tactiques et faiblesses de la chaîne d’approvisionnement pour cibler les sociétés de blockchain et de crypto-monnaie afin de faciliter le vol de propriété intellectuelle et d’actifs virtuels.
La nature prolifique et agressive des attaques met en évidence les différentes manières dont le pays a recours pour échapper aux sanctions internationales et profiter illégalement de ces stratagèmes.
« Les gens ont tendance à penser : comment le « Royaume-Ermite » entre guillemets pourrait-il être un acteur sérieux d’un point de vue cybernétique ? », a déclaré Adam Meyers de CrowdStrike. cité comme disant à Politico. « Mais la réalité ne pourrait pas être plus éloignée de la vérité. »