L’acteur de menace en la Corée du Nord connue sous le nom de Scarcruft aurait été à l’origine d’un outil de surveillance Android inédite nommé nommé Kospy ciblant les utilisateurs coréens et anglophones.
Lookout, qui a partagé les détails de la campagne de logiciels malveillants, a déclaré que les premières versions remontent à mars 2022. Les échantillons les plus récents ont été signalés en mars 2024. Il n’est pas clair à quel point ces efforts ont réussi.
“Kospy peut collecter des données étendues, telles que les messages SMS, les journaux d’appels, l’emplacement, les fichiers, l’audio et les captures d’écran via des plugins chargés dynamiquement”, la société dit dans une analyse.
Les artefacts malveillants se masquent comme applications utilitaires sur le Google Play Store officiel, en utilisant le gestionnaire de fichiers, le gestionnaire de téléphone, le gestionnaire intelligent, le service de mise à jour de logiciel et la sécurité de Kakao pour inciter les utilisateurs sans méfiance à infecter leurs propres appareils.
Toutes les applications identifiées offrent la fonctionnalité promise pour éviter d’élever des suspicions tout en déploiant furtivement des composants liés aux logiciels espions en arrière-plan. Les applications ont depuis été supprimées du marché des applications.
Scarcruft, également appelé APT27 et Reaper, est un groupe de cyber-espionnage parrainé par l’État nord-coréen actif depuis 2012. Des chaînes d’attaque orchestrées par le groupe tirent principalement Récolter les données sensibles à partir des systèmes Windows. Rokrat a depuis été adapté pour cibler MacOS et Android.
Les applications Android malveillantes, une fois installées, sont conçues pour contacter une base de données Cloud Firestore Firestore Firebase pour récupérer une configuration contenant l’adresse du serveur de commande et de contrôle (C2).
En utilisant un service légitime comme Firestore comme Resolver de chute morteL’approche C2 en deux étapes offre à la fois la flexibilité et la résilience, permettant à l’acteur de menace de modifier l’adresse C2 à tout moment et de fonctionner non détecté.
“Après avoir récupéré l’adresse C2, Kospy garantit que l’appareil n’est pas un émulateur et que la date actuelle est passée à la date d’activation codée en dur”, a déclaré Lookout. “Cette vérification de la date d’activation garantit que le logiciel espion ne révèle pas son intention malveillante prématurément.”
Kospy est capable de télécharger des plugins supplémentaires ainsi que des configurations afin de répondre à ses objectifs de surveillance. La nature exacte du plugin reste inconnue car les serveurs C2 ne sont plus actifs ou ne répondent pas aux demandes des clients.
Le malware est conçu pour collecter une large gamme de données à partir de l’appareil compromis, y compris les messages SMS, les journaux d’appels, l’emplacement de l’appareil, les fichiers dans le stockage local, les captures d’écran, les clés, les informations réseau Wi-Fi et la liste des applications installées. Il est également équipé pour enregistrer l’audio et prendre des photos.
Lookout a déclaré avoir identifié des infrastructures qui se chevauchent entre la campagne Kospy et celles précédemment liées à un autre groupe de piratage nord-coréen appelé Kimsuky (alias APT43).
L’interview contagieuse se manifeste comme packages NPM
La divulgation intervient alors que Socket a découvert un ensemble de six packages NPM qui sont conçus pour déployer un logiciel malveillant connu de l’observation de l’information appelée Beavertail, qui est liée à une campagne nord-coréenne en cours suivie comme une interview contagieuse. La liste des packages désormais éliminés est ci-dessous –
- IS-Buffer-Validator
- validateur yoojae
- package d’événements
- array-vide-validateur
- react-event-dépendance
- auto-validateur
Les packages sont conçus pour collecter les détails de l’environnement système, ainsi que les informations d’identification stockées dans des navigateurs Web tels que Google Chrome, Brave et Mozilla Firefox. Il cible également les portefeuilles de crypto-monnaie, extrait id.json de Solana et Exodus.wallet d’Exodus.
“Les six nouveaux packages – ont collectivement téléchargé plus de 330 fois – imitent étroitement les noms de bibliothèques largement fiables, utilisant une tactique de typosquat bien connue utilisée par les acteurs de la menace liés à Lazarus pour tromper les développeurs”, a déclaré le chercheur de socket Kirill Boychenko dit.
“De plus, le groupe APT a créé et maintenu les référentiels GitHub pour cinq des packages malveillants, prêtant une apparition de la légitimité open source et augmentant la probabilité que le code nocif soit intégré aux flux de travail des développeurs.”
La campagne nord-coréenne utilise Rustdoor et Koi Stealer
Les résultats suivent également la découverte d’une nouvelle campagne qui a été trouvée ciblant le secteur des crypto-monnaies avec un malware macOS basé sur la rouille appelée Rustdoor (alias Thiefbucket) et une variante macOS non documentée d’une famille de malware connue sous le nom de Stealer Koi.
L’unité 42 de Palo Alto Networks a déclaré que les caractéristiques des attaquants ont des similitudes avec une entrevue contagieuse et qu’elle évalue avec une confiance moyenne que l’activité a été menée au nom du régime nord-coréen.
Plus précisément, la chaîne d’attaque implique l’utilisation d’un faux projet d’entrevue d’emploi qui, lorsqu’il est exécuté via Microsoft Visual Studio, tente de télécharger et d’exécuter Rustdoor. Le malware procède ensuite à voler les mots de passe de l’extension LastPass Google Chrome, à exfilter les données à un serveur externe et à télécharger deux scripts de bash supplémentaires pour ouvrir un shell inversé.
La dernière étape de l’infection implique la récupération et l’exécution d’une autre charge utile, une version macOS de KOI Stealer qui imite Visual Studio pour inciter les victimes à entrer dans leur mot de passe du système, lui permettant ainsi de recueillir et d’exfiltrer les données de la machine.
“Cette campagne met en évidence les risques auxquels les organisations dans le monde sont confrontées à partir d’attaques élaborées d’ingénierie sociale conçues pour infiltrer les réseaux et voler des données sensibles et des crypto-monnaies”, les chercheurs en sécurité Adva Gabay et Daniel Frank dit. “Ces risques sont amplifiés lorsque l’agresseur est un acteur de menace nationale, par rapport à un cybercriminal purement motivé.”





