{"id":1198914,"date":"2024-06-14T09:27:56","date_gmt":"2024-06-14T11:27:56","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-nord-coreens-ciblent-la-fintech-bresilienne-avec-des-tactiques-de-phishing-sophistiquees\/"},"modified":"2024-06-14T09:28:00","modified_gmt":"2024-06-14T11:28:00","slug":"des-pirates-nord-coreens-ciblent-la-fintech-bresilienne-avec-des-tactiques-de-phishing-sophistiquees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-nord-coreens-ciblent-la-fintech-bresilienne-avec-des-tactiques-de-phishing-sophistiquees\/","title":{"rendered":"Des pirates nord-cor\u00e9ens ciblent la Fintech br\u00e9silienne avec des tactiques de phishing sophistiqu\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Des-pirates-nord-coreens-ciblent-la-Fintech-bresilienne-avec-des-tactiques.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les acteurs mena\u00e7ants li\u00e9s \u00e0 la Cor\u00e9e du Nord repr\u00e9sentent un tiers de toutes les activit\u00e9s de phishing ciblant le Br\u00e9sil depuis 2020, l&#8217;\u00e9mergence du pays en tant que puissance influente ayant attir\u00e9 l&#8217;attention des groupes de cyberespionnage.<\/p>\n<p>&#8220;Des acteurs soutenus par le gouvernement nord-cor\u00e9en ont cibl\u00e9 le gouvernement br\u00e9silien et les secteurs br\u00e9siliens de l&#8217;a\u00e9rospatiale, de la technologie et des services financiers&#8221;, ont d\u00e9clar\u00e9 les divisions Mandiant et Threat Analysis Group (TAG) de Google. <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/cyber-threats-targeting-brazil\" target=\"_blank\">dit<\/a> dans un rapport conjoint publi\u00e9 cette semaine.<\/p>\n<p>&#8220;Tout comme leurs int\u00e9r\u00eats dans d&#8217;autres r\u00e9gions, les soci\u00e9t\u00e9s de cryptomonnaie et de technologie financi\u00e8re ont fait l&#8217;objet d&#8217;une attention particuli\u00e8re, et au moins trois groupes nord-cor\u00e9ens ont cibl\u00e9 les soci\u00e9t\u00e9s br\u00e9siliennes de cryptomonnaie et de technologie financi\u00e8re.&#8221;<\/p>\n<p>Parmi ces groupes, l&#8217;un des plus importants est un acteur malveillant identifi\u00e9 sous le nom d&#8217;UNC4899 (alias Jade Sleet, PUKCHONG et TraderTraitor), qui a cibl\u00e9 les professionnels de la cryptomonnaie avec une application Python trojanis\u00e9e contenant des logiciels malveillants.<\/p>\n<p>Les cha\u00eenes d\u2019attaque consistent \u00e0 atteindre des cibles potentielles via les r\u00e9seaux sociaux et \u00e0 envoyer un document PDF inoffensif contenant une description de poste pour une pr\u00e9tendue opportunit\u00e9 d\u2019emploi dans une soci\u00e9t\u00e9 de cryptomonnaie bien connue.<\/p>\n<p>Si la cible exprime son int\u00e9r\u00eat pour l&#8217;offre d&#8217;emploi, l&#8217;acteur malveillant donne suite en envoyant un deuxi\u00e8me document PDF inoffensif contenant un questionnaire de comp\u00e9tences et des instructions pour effectuer une mission de codage en t\u00e9l\u00e9chargeant un projet depuis GitHub.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v4\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718014063_881_Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Le projet \u00e9tait une application Python trojanis\u00e9e permettant de r\u00e9cup\u00e9rer les prix des cryptomonnaies, qui a \u00e9t\u00e9 modifi\u00e9e pour atteindre un domaine contr\u00f4l\u00e9 par un attaquant afin de r\u00e9cup\u00e9rer une charge utile de deuxi\u00e8me \u00e9tape si des conditions sp\u00e9cifiques \u00e9taient remplies&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Mandiant et de TAG.<\/p>\n<p>Ce n\u2019est pas la premi\u00e8re fois que l\u2019UNC4899, attribu\u00e9 au piratage JumpCloud de 2023, exploite cette approche.  En juillet 2023, GitHub a mis en garde contre une attaque d\u2019ing\u00e9nierie sociale visant \u00e0 inciter les employ\u00e9s travaillant dans des soci\u00e9t\u00e9s de blockchain, de crypto-monnaie, de jeux d\u2019argent en ligne et de cybers\u00e9curit\u00e9 \u00e0 ex\u00e9cuter du code h\u00e9berg\u00e9 dans un r\u00e9f\u00e9rentiel GitHub \u00e0 l\u2019aide de faux packages NPM.<\/p>\n<p>Les campagnes d&#8217;ing\u00e9nierie sociale sur le th\u00e8me de l&#8217;emploi sont un th\u00e8me r\u00e9current parmi les groupes de hackers nord-cor\u00e9ens, le g\u00e9ant de la technologie ayant \u00e9galement rep\u00e9r\u00e9 une campagne orchestr\u00e9e par un groupe qu&#8217;il suit sous le nom de PAEKTUSAN pour diffuser un malware t\u00e9l\u00e9chargeur C++ appel\u00e9 AGAMEMNON via des pi\u00e8ces jointes Microsoft Word int\u00e9gr\u00e9es dans des e-mails de phishing. .<\/p>\n<p>&#8220;Par exemple, PAEKTUSAN a cr\u00e9\u00e9 un compte se faisant passer pour le directeur des ressources humaines d&#8217;une entreprise a\u00e9rospatiale br\u00e9silienne et l&#8217;a utilis\u00e9 pour envoyer des e-mails de phishing aux employ\u00e9s d&#8217;une deuxi\u00e8me entreprise a\u00e9rospatiale br\u00e9silienne&#8221;, ont not\u00e9 les chercheurs, ajoutant que les campagnes sont coh\u00e9rentes avec une activit\u00e9 de longue date. suivi comme Operation Dream Job.<\/p>\n<p>&#8220;Dans une campagne distincte, PAEKTUSAN s&#8217;est fait passer pour un recruteur d&#8217;une grande entreprise a\u00e9rospatiale am\u00e9ricaine et a contact\u00e9 des professionnels au Br\u00e9sil et dans d&#8217;autres r\u00e9gions par courrier \u00e9lectronique et sur les r\u00e9seaux sociaux au sujet d&#8217;opportunit\u00e9s d&#8217;emploi potentielles.&#8221;<\/p>\n<p>Google a en outre d\u00e9clar\u00e9 avoir bloqu\u00e9 les tentatives d&#8217;un autre groupe nord-cor\u00e9en baptis\u00e9 PRONTO visant \u00e0 cibler les diplomates avec des leurres li\u00e9s \u00e0 la d\u00e9nucl\u00e9arisation et \u00e0 l&#8217;actualit\u00e9 pour les inciter \u00e0 visiter des pages de collecte d&#8217;informations d&#8217;identification ou \u00e0 fournir leurs informations de connexion afin de visualiser un suppos\u00e9 document PDF.<\/p>\n<p>Cette \u00e9volution intervient quelques semaines apr\u00e8s que Microsoft a mis en lumi\u00e8re un acteur malveillant d&#8217;origine nord-cor\u00e9enne jusqu&#8217;alors non document\u00e9, nomm\u00e9 Moonstone Sleet, qui a cibl\u00e9 des individus et des organisations dans les secteurs des logiciels et des technologies de l&#8217;information, de l&#8217;\u00e9ducation et de la base industrielle de la d\u00e9fense avec des attaques de ransomware et d&#8217;espionnage. .<\/p>\n<p>Parmi les tactiques remarquables de Moonstone Sleet figure la distribution de logiciels malveillants via des packages NPM contrefaits. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/north-korean-state-actors\/\" target=\"_blank\">publi\u00e9 sur le registre npm<\/a>, refl\u00e9tant celui de UNC4899.  Cela dit, les packages associ\u00e9s aux deux clusters portent des styles et des structures de code distincts.<\/p>\n<p>&#8220;Les packages de Jade Sleet, d\u00e9couverts tout au long de l&#8217;\u00e9t\u00e9 2023, ont \u00e9t\u00e9 con\u00e7us pour fonctionner par paires, chaque paire \u00e9tant publi\u00e9e par un compte utilisateur npm distinct pour distribuer leurs fonctionnalit\u00e9s malveillantes&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Checkmarx, Tzachi Zornstein et Yehuda Gelb. <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/blog\/a-new-north-korean-group-emerges-disrupting-the-open-source-ecosystem\/\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>\u00ab En revanche, les packages publi\u00e9s fin 2023 et d\u00e9but 2024 ont adopt\u00e9 une approche de package unique plus rationalis\u00e9e qui ex\u00e9cuterait sa charge utile imm\u00e9diatement apr\u00e8s l&#8217;installation. Au deuxi\u00e8me trimestre 2024, les packages sont devenus plus complexes, les attaquants ajoutant de l&#8217;obscurcissement et ayant il cible \u00e9galement les syst\u00e8mes Linux.<\/p>\n<p>Quelles que soient les diff\u00e9rences, cette tactique abuse de la confiance que les utilisateurs accordent aux r\u00e9f\u00e9rentiels open source, permettant aux acteurs de la menace d&#8217;atteindre un public plus large et augmentant la probabilit\u00e9 qu&#8217;un de leurs packages malveillants soit install\u00e9 par inadvertance par des d\u00e9veloppeurs involontaires.<\/p>\n<p>La divulgation est importante, notamment parce qu&#8217;elle marque une expansion du m\u00e9canisme de distribution de logiciels malveillants de Moonstone Sleet, qui reposait auparavant sur la diffusion de faux packages NPM via LinkedIn et des sites Web ind\u00e9pendants.<\/p>\n<p>Ces r\u00e9sultats font \u00e9galement suite \u00e0 la d\u00e9couverte d&#8217;une nouvelle campagne d&#8217;ing\u00e9nierie sociale entreprise par le groupe Kimsuky, li\u00e9 \u00e0 la Cor\u00e9e du Nord, dans laquelle il a usurp\u00e9 l&#8217;identit\u00e9 de l&#8217;agence de presse Reuters pour cibler des militants nord-cor\u00e9ens des droits de l&#8217;homme afin de diffuser des logiciels malveillants volant des informations sous couvert d&#8217;une demande d&#8217;interview, selon \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/www.genians.co.kr\/blog\/threat_intelligence\/interview\" target=\"_blank\">G\u00e9niens<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/north-korean-hackers-target-brazilian.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les acteurs mena\u00e7ants li\u00e9s \u00e0 la Cor\u00e9e du Nord repr\u00e9sentent un tiers de toutes les activit\u00e9s de phishing ciblant le Br\u00e9sil depuis 2020, l&#8217;\u00e9mergence du pays en tant que puissance influente ayant attir\u00e9 l&#8217;attention des groupes de cyberespionnage. &#8220;Des acteurs soutenus par le gouvernement nord-cor\u00e9en ont cibl\u00e9 le gouvernement br\u00e9silien et les secteurs br\u00e9siliens de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1198915,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,84,6159,5863,4168,4165,4161,200267,133,69010,4159,4171,200271,200268,24722,200269,200270,8153,4394,128318,4172,4169,16488,11977,4166,4164],"class_list":["post-1198914","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-avec","tag-bresilienne","tag-ciblent","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-fintech","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nordcoreens","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-phishing","tag-pirates","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sophistiquees","tag-tactiques","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198914","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1198914"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198914\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1198915"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1198914"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1198914"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1198914"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}