{"id":1113065,"date":"2024-01-22T16:04:29","date_gmt":"2024-01-22T18:04:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-nord-coreens-utilisent-de-fausses-recherches-pour-creer-une-porte-derobee-rokrat\/"},"modified":"2024-01-22T16:04:35","modified_gmt":"2024-01-22T18:04:35","slug":"des-pirates-informatiques-nord-coreens-utilisent-de-fausses-recherches-pour-creer-une-porte-derobee-rokrat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-nord-coreens-utilisent-de-fausses-recherches-pour-creer-une-porte-derobee-rokrat\/","title":{"rendered":"Des pirates informatiques nord-cor\u00e9ens utilisent de fausses recherches pour cr\u00e9er une porte d\u00e9rob\u00e9e RokRAT"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 janvier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Cyberattaque \/ Piratage<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Les m\u00e9dias et les experts de haut niveau des affaires nord-cor\u00e9ennes ont \u00e9t\u00e9 les victimes d’une nouvelle campagne orchestr\u00e9e par un acteur mena\u00e7ant connu sous le nom de CicatriceCruft<\/strong> en d\u00e9cembre 2023.<\/p>\n

“ScarCruft a exp\u00e9riment\u00e9 de nouvelles cha\u00eenes d’infection, y compris l’utilisation d’un rapport de recherche technique sur les menaces comme leurre, ciblant probablement les consommateurs de renseignements sur les menaces comme les professionnels de la cybers\u00e9curit\u00e9”, ont d\u00e9clar\u00e9 Aleksandar Milenkoski et Tom Hegel, chercheurs de SentinelOne. dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n

L’adversaire li\u00e9 \u00e0 la Cor\u00e9e du Nord, \u00e9galement connu sous le nom d’APT37, InkySquid, RedEyes, Ricochet Chollima et Ruby Sleet, est consid\u00e9r\u00e9 comme faisant partie du minist\u00e8re de la S\u00e9curit\u00e9 d’\u00c9tat (MSS), ce qui le distingue du groupe Lazarus et de Kimsuky, qui sont des \u00e9l\u00e9ments au sein du Bureau G\u00e9n\u00e9ral de Reconnaissance (RGB).<\/p>\n

\"La<\/a><\/center><\/div>\n

Le groupe est connu<\/a> pour son ciblage des gouvernements et des transfuges, en tirant parti des leurres de spear phishing pour fournir RokRAT et d’autres portes d\u00e9rob\u00e9es dans le but ultime de collecte de renseignements secr\u00e8te<\/a> dans la poursuite des int\u00e9r\u00eats strat\u00e9giques de la Cor\u00e9e du Nord.<\/p>\n

En ao\u00fbt 2023, ScarCruft a \u00e9t\u00e9 li\u00e9 \u00e0 une attaque contre la soci\u00e9t\u00e9 russe d’ing\u00e9nierie de missiles NPO Mashinostroyeniya aux c\u00f4t\u00e9s du groupe Lazarus dans ce qui a \u00e9t\u00e9 consid\u00e9r\u00e9 comme une \u00ab mission d’espionnage strat\u00e9gique hautement souhaitable \u00bb con\u00e7ue pour profiter \u00e0 son programme de missiles controvers\u00e9.<\/p>\n

\"Nord<\/a><\/div>\n

Plus t\u00f4t cette semaine, les m\u00e9dias d’\u00c9tat nord-cor\u00e9ens signal\u00e9<\/a> que le pays avait effectu\u00e9 un test de son \u00ab syst\u00e8me d’armes nucl\u00e9aires sous-marines \u00bb en r\u00e9ponse aux exercices men\u00e9s par les \u00c9tats-Unis, la Cor\u00e9e du Sud et le Japon, d\u00e9crivant ces exercices comme une menace pour sa s\u00e9curit\u00e9 nationale.<\/p>\n

La derni\u00e8re cha\u00eene d’attaques observ\u00e9e par SentinelOne a cibl\u00e9 un expert des affaires nord-cor\u00e9ennes en se faisant passer pour un membre de l’Institut de recherche de Cor\u00e9e du Nord, exhortant le destinataire \u00e0 ouvrir un fichier d’archive ZIP contenant des documents de pr\u00e9sentation.<\/p>\n

Bien que sept des neuf fichiers de l’archive soient inoffensifs, deux d’entre eux sont des fichiers de raccourci Windows (LNK) malveillants, refl\u00e9tant une s\u00e9quence d’infection en plusieurs \u00e9tapes pr\u00e9c\u00e9demment divulgu\u00e9e par Check Point en mai 2023 pour distribuer la porte d\u00e9rob\u00e9e RokRAT.<\/p>\n

Il existe des preuves sugg\u00e9rant que certaines des personnes cibl\u00e9es vers le 13 d\u00e9cembre 2023 avaient \u00e9galement \u00e9t\u00e9 cibl\u00e9es un mois auparavant, le 16 novembre 2023.<\/p>\n

SentinelOne a d\u00e9clar\u00e9 que son enqu\u00eate a \u00e9galement d\u00e9couvert des logiciels malveillants \u2013 deux fichiers LNK (\u00ab\u00a0inteligence.lnk\u00a0\u00bb et \u00ab\u00a0news.lnk\u00a0\u00bb) ainsi que des variantes de shellcode fournissant RokRAT \u2013 qui feraient partie des processus de planification et de test de l’acteur malveillant.<\/p>\n

\"La<\/a><\/center><\/div>\n

Alors que l’ancien fichier de raccourci ouvre simplement l’application Notepad l\u00e9gitime, le shellcode ex\u00e9cut\u00e9 via news.lnk ouvre la voie au d\u00e9ploiement de RokRAT, bien que cette proc\u00e9dure d’infection n’ait pas encore \u00e9t\u00e9 observ\u00e9e dans la nature, ce qui indique son utilisation probable pour de futures campagnes.<\/p>\n

Cette \u00e9volution est le signe que l\u2019\u00e9quipe de piratage informatique des \u00c9tats-nations peaufine activement son mode op\u00e9ratoire, probablement dans le but de contourner la d\u00e9tection en r\u00e9ponse \u00e0 la divulgation publique de ses tactiques et techniques.<\/p>\n

“ScarCruft reste d\u00e9termin\u00e9 \u00e0 acqu\u00e9rir des renseignements strat\u00e9giques et a peut-\u00eatre l’intention d’acqu\u00e9rir des connaissances sur les strat\u00e9gies de d\u00e9fense et de renseignement non publiques sur les cybermenaces”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

\u00abCela permet \u00e0 l’adversaire de mieux comprendre comment la communaut\u00e9 internationale per\u00e7oit les d\u00e9veloppements en Cor\u00e9e du Nord, contribuant ainsi aux processus d\u00e9cisionnels de la Cor\u00e9e du Nord.\u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n