Le groupe d’\u00c9tats-nations nord-cor\u00e9en Kimusky a \u00e9t\u00e9 li\u00e9 \u00e0 un nouvel ensemble d’activit\u00e9s malveillantes dirig\u00e9es contre des entit\u00e9s politiques et diplomatiques situ\u00e9es dans son homologue du sud au d\u00e9but de 2022.<\/p>\n
La soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky a nomm\u00e9 le cluster Dragon d’or<\/strong><\/a>avec les cha\u00eenes d’infection conduisant au d\u00e9ploiement de logiciels malveillants Windows con\u00e7us pour les listes de fichiers, les frappes de l’utilisateur et les identifiants de connexion du navigateur Web stock\u00e9s.<\/p>\n Parmi les victimes potentielles figurent des professeurs d’universit\u00e9 sud-cor\u00e9ens, des chercheurs de groupes de r\u00e9flexion et des responsables gouvernementaux. <\/p>\n Kimsuky, \u00e9galement connu sous le nom de Black Banshee, Thallium et Velvet Chollima, est le nom donn\u00e9 \u00e0 un groupe nord-cor\u00e9en prolifique de menaces persistantes avanc\u00e9es (APT) qui cible des entit\u00e9s dans le monde entier, mais avec un accent principal sur la Cor\u00e9e du Sud, pour obtenir des renseignements sur divers sujets. int\u00e9ressant le r\u00e9gime.<\/p>\n Connu pour fonctionner depuis 2012, le groupe a l’habitude d’employer des tactiques d’ing\u00e9nierie sociale, de harponnage et d’attaques de points d’eau pour exfiltrer les informations souhait\u00e9es des victimes.<\/p>\n \u00c0 la fin du mois dernier, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity a attribu\u00e9 l’acteur \u00e0 une mission de collecte de renseignements con\u00e7ue pour siphonner le contenu des e-mails de Gmail et AOL via une extension de navigateur Chrome malveillante appel\u00e9e Sharpext.<\/p>\n La derni\u00e8re campagne suit un modus operandi similaire dans lequel la s\u00e9quence d’attaque est lanc\u00e9e via des messages de harponnage contenant des documents Microsoft Word int\u00e9gr\u00e9s \u00e0 la macro qui pr\u00e9sentent pr\u00e9tendument du contenu li\u00e9 aux probl\u00e8mes g\u00e9opolitiques de la r\u00e9gion.<\/p>\n On dit \u00e9galement que les routes d’acc\u00e8s initiales alternatives tirent parti des fichiers d’application HTML (HTA) et d’aide HTML compil\u00e9e (CHM) comme leurres pour compromettre le syst\u00e8me.<\/p>\n Quelle que soit la m\u00e9thode utilis\u00e9e, l’acc\u00e8s initial est suivi de la suppression d’un script Visual Basic \u00e0 partir d’un serveur distant orchestr\u00e9 pour identifier la machine et r\u00e9cup\u00e9rer des charges utiles suppl\u00e9mentaires, y compris un ex\u00e9cutable capable d’exfiltrer des informations sensibles.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\")
<\/a><\/div>\n![\"Les](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661432742_555_Des-chercheurs-decouvrent-Kimusky-Infra-ciblant-des-politiciens-et-des.jpg\" "\\"Les")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\")
<\/a><\/div>\n