Le groupe nord-coréen de menace persistante avancée (APT) connu sous le nom de Kimsuky a été observé en train d’utiliser un logiciel malveillant personnalisé appelé RandomQuery dans le cadre d’une opération de reconnaissance et d’exfiltration d’informations.
« Dernièrement, Kimsuky a constamment distribué des logiciels malveillants personnalisés dans le cadre de campagnes de reconnaissance pour permettre des attaques ultérieures », ont déclaré les chercheurs de SentinelOne, Aleksandar Milenkoski et Tom Hegel. a dit dans un rapport publié aujourd’hui.
La campagne ciblée en cours, selon la société de cybersécurité, est principalement destinée aux services d’information ainsi qu’aux organisations soutenant les militants des droits de l’homme et les transfuges nord-coréens.
Kimsuky, actif depuis 2012, a fait ses preuves dans la grève d’organisations et d’individus présentant un intérêt stratégique pour la Corée du Nord.
Les missions de collecte de renseignements ont récemment impliqué l’utilisation d’un autre outil de reconnaissance appelé ReconShark, comme détaillé par SentinelOne plus tôt ce mois-ci.
Le dernier cluster d’activités associé au groupe a débuté le 5 mai 2023 et exploite une variante de RandomQuery spécialement conçue pour énumérer les fichiers et siphonner les données sensibles.
RandomQuery, aux côtés de FlowerPower et AppleSeed, font partie des la plupart fréquemment distribué outils dans l’arsenal de Kimsuky, le premier fonctionnant comme un voleur d’informations et un conduit pour distribuer des chevaux de Troie d’accès à distance comme TutRAT et xRAT.
Les attaques commencent par des e-mails de phishing qui prétendent provenir de Daily NK, une importante publication en ligne basée à Séoul qui couvre les affaires nord-coréennes, pour inciter des cibles potentielles à ouvrir un fichier Microsoft Compiled HTML Help (CHM).
Il convient de noter à ce stade que les fichiers CHM ont également été adoptés comme leurre par un autre acteur de l’État-nation nord-coréen appelé ScarCruft.
Le lancement du fichier CHM entraîne l’exécution d’un script Visual Basic qui envoie une requête HTTP GET à un serveur distant pour récupérer la charge utile de deuxième étape, une version VBScript de RandomQuery.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Le logiciel malveillant procède ensuite à la collecte des métadonnées du système, des processus en cours d’exécution, des applications installées et des fichiers de différents dossiers, qui sont tous retransmis au serveur de commande et de contrôle (C2).
« Cette campagne démontre également l’approche cohérente du groupe consistant à diffuser des logiciels malveillants via des fichiers CHM », ont déclaré les chercheurs.
« Ces incidents soulignent le paysage en constante évolution des groupes menaçants nord-coréens, dont les attributions englobent non seulement l’espionnage politique, mais aussi le sabotage et les menaces financières. »
Les résultats arrivent quelques jours après que le centre d’intervention d’urgence de sécurité d’AhnLab (ASEC) découvert une attaque de point d’eau montée par Kimsuky qui implique la mise en place d’un système de messagerie Web similaire utilisé par les instituts nationaux de recherche sur les politiques pour recueillir les informations d’identification saisies par les victimes.
Dans un développement connexe, Kimsuky a également été liés à des attentats qui militarisent les serveurs Windows Internet Information Services (IIS) vulnérables pour supprimer le framework de post-exploitation Metasploit Meterpreter, qui est ensuite utilisé pour déployer un malware proxy basé sur Go.