{"id":714119,"date":"2023-05-02T10:05:57","date_gmt":"2023-05-02T12:05:57","guid":{"rendered":"https:\/\/teknomers.com\/fr\/scarcruft-de-coree-du-nord-deploie-le-logiciel-malveillant-rokrat-via-les-chaines-dinfection-de-fichiers-lnk\/"},"modified":"2023-05-02T10:06:00","modified_gmt":"2023-05-02T12:06:00","slug":"scarcruft-de-coree-du-nord-deploie-le-logiciel-malveillant-rokrat-via-les-chaines-dinfection-de-fichiers-lnk","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/scarcruft-de-coree-du-nord-deploie-le-logiciel-malveillant-rokrat-via-les-chaines-dinfection-de-fichiers-lnk\/","title":{"rendered":"ScarCruft de Cor\u00e9e du Nord d\u00e9ploie le logiciel malveillant RokRAT via les cha\u00eenes d&#8217;infection de fichiers LNK"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Renseignements sur les menaces<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;acteur mena\u00e7ant nord-cor\u00e9en connu sous le nom de <strong>ScarCruft<\/strong> a commenc\u00e9 \u00e0 exp\u00e9rimenter des fichiers LNK surdimensionn\u00e9s comme voie de livraison pour les logiciels malveillants RokRAT d\u00e8s juillet 2022, le m\u00eame mois o\u00f9 Microsoft a commenc\u00e9 \u00e0 bloquer les macros dans les documents Office par d\u00e9faut.<\/p>\n<p>&#8220;RokRAT n&#8217;a pas chang\u00e9 de mani\u00e8re significative au fil des ans, mais ses m\u00e9thodes de d\u00e9ploiement ont \u00e9volu\u00e9, utilisant d\u00e9sormais des archives contenant des fichiers LNK qui lancent des cha\u00eenes d&#8217;infection \u00e0 plusieurs \u00e9tapes&#8221;, Check Point <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/chain-reaction-rokrats-missing-link\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport technique.<\/p>\n<p>&#8220;Il s&#8217;agit d&#8217;une autre repr\u00e9sentation d&#8217;une tendance majeure dans le paysage des menaces, o\u00f9 les APT et les cybercriminels tentent de surmonter le blocage des macros provenant de sources non fiables.&#8221;<\/p>\n<p>ScarCruft, \u00e9galement connu sous les noms APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes et Ricochet Chollima, est un groupe de menaces qui cible presque exclusivement des individus et des entit\u00e9s sud-cor\u00e9ens dans le cadre d&#8217;attaques de harponnage con\u00e7ues pour fournir une gamme d&#8217;outils personnalis\u00e9s. .<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682937111_165_Un-acteur-vietnamien-de-la-menace-infecte-500-000-appareils.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le collectif contradictoire, contrairement au groupe Lazarus ou Kimsuky, est <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/mapping-dprk-groups-to-government\" target=\"_blank\">supervis\u00e9<\/a> par le minist\u00e8re de la S\u00e9curit\u00e9 d&#8217;\u00c9tat de la Cor\u00e9e du Nord (<a rel=\"nofollow noopener\" href=\"https:\/\/www.dailynk.com\/english\/several-state-security-agency-agents-busted-for-accessing-internet-without-permission\/\" target=\"_blank\">SMS<\/a>), qui est charg\u00e9 des activit\u00e9s de contre-espionnage national et de contre-espionnage \u00e0 l&#8217;\u00e9tranger, par Mandiant.<\/p>\n<p>Le principal malware de pr\u00e9dilection du groupe est <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/introducing-rokrat\/\" target=\"_blank\">RokRAT<\/a> (alias DOGCALL), qui a depuis \u00e9t\u00e9 adapt\u00e9 \u00e0 d&#8217;autres plates-formes telles que macOS (CloudMensis) et Android (RambleOn), indiquant que la porte d\u00e9rob\u00e9e est activement d\u00e9velopp\u00e9e et maintenue.<\/p>\n<p>RokRAT et ses variantes sont \u00e9quip\u00e9s pour effectuer un large \u00e9ventail d&#8217;activit\u00e9s telles que le vol d&#8217;informations d&#8217;identification, l&#8217;exfiltration de donn\u00e9es, la capture d&#8217;\u00e9cran, la collecte d&#8217;informations syst\u00e8me, l&#8217;ex\u00e9cution de commandes et de shellcode, et la gestion de fichiers et de r\u00e9pertoires.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683029157_253_ScarCruft-de-Coree-du-Nord-deploie-le-logiciel-malveillant-RokRAT.png\" alt=\"Logiciel malveillant RokRAT\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Logiciel malveillant RokRAT\"\/><\/div>\n<p>Les informations collect\u00e9es, dont certaines sont stock\u00e9es sous forme de fichiers MP3 pour brouiller les pistes, sont renvoy\u00e9es \u00e0 l&#8217;aide de services cloud tels que Dropbox, Microsoft OneDrive, pCloud et Yandex Cloud dans le but de d\u00e9guiser le command-and-control (C2 ) communications comme l\u00e9gitimes.<\/p>\n<p>Parmi les autres logiciels malveillants sur mesure utilis\u00e9s par le groupe figurent, mais sans s&#8217;y limiter, Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin et, plus r\u00e9cemment, M2RAT.  Il est \u00e9galement connu d&#8217;utiliser des logiciels malveillants de base tels qu&#8217;Amadey, un t\u00e9l\u00e9chargeur qui peut recevoir des commandes de l&#8217;attaquant pour t\u00e9l\u00e9charger des charges utiles suppl\u00e9mentaires, dans le but de confondre l&#8217;attribution.<\/p>\n<p>L&#8217;utilisation de fichiers LNK comme leurres pour activer les s\u00e9quences d&#8217;infection a \u00e9galement \u00e9t\u00e9 mise en \u00e9vidence par le centre de r\u00e9ponse d&#8217;urgence de s\u00e9curit\u00e9 AhnLab (ASEC) la semaine derni\u00e8re, avec les fichiers contenant des commandes PowerShell qui d\u00e9ploient le malware RokRAT.<\/p>\n<p>Alors que le changement de mode op\u00e9ratoire signale les efforts de ScarCruft pour suivre l&#8217;\u00e9volution de l&#8217;\u00e9cosyst\u00e8me des menaces, il a continu\u00e9 \u00e0 exploiter des documents Word malveillants bas\u00e9s sur des macros aussi r\u00e9cemment qu&#8217;en avril 2023 pour supprimer le logiciel malveillant, refl\u00e9tant une cha\u00eene similaire qui \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2021\/01\/retrohunting-apt37-north-korean-apt-used-vba-self-decode-technique-to-inject-rokrat\" target=\"_blank\">signal\u00e9<\/a> par Malwarebytes en janvier 2021.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>Une autre vague d&#8217;attaques observ\u00e9e d\u00e9but novembre 2022, selon la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9, a utilis\u00e9 des archives ZIP incorporant des fichiers LNK pour d\u00e9ployer le malware Amadey.<\/p>\n<p>&#8220;[The LNK file] peut d\u00e9clencher une cha\u00eene d&#8217;infection tout aussi efficace par un simple double-clic, une cha\u00eene plus fiable que les exploits de n jours ou les macros Office qui n\u00e9cessitent des clics suppl\u00e9mentaires pour se lancer \u00bb, a d\u00e9clar\u00e9 Check Point.<\/p>\n<p>&#8220;APT37 continue de repr\u00e9senter une menace consid\u00e9rable, lan\u00e7ant plusieurs campagnes sur les plates-formes et am\u00e9liorant consid\u00e9rablement ses m\u00e9thodes de diffusion de logiciels malveillants.&#8221;<\/p>\n<p>Les d\u00e9couvertes surviennent alors que Kaspersky a divulgu\u00e9 un nouveau malware bas\u00e9 sur Go d\u00e9velopp\u00e9 par ScarCruft et nomm\u00e9 SidLevel qui utilise pour la premi\u00e8re fois le service de messagerie cloud Ably comme m\u00e9canisme C2 et est dot\u00e9 de &#8220;capacit\u00e9s \u00e9tendues pour voler des informations sensibles aux victimes&#8221;.<\/p>\n<p>&#8220;Le groupe continue de cibler des personnes li\u00e9es \u00e0 la Cor\u00e9e du Nord, notamment des romanciers, des \u00e9tudiants universitaires, ainsi que des hommes d&#8217;affaires qui semblent renvoyer des fonds en Cor\u00e9e du Nord&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/apt-trends-report-q1-2023\/109581\/\" target=\"_blank\">indiqu\u00e9<\/a> dans son rapport sur les tendances APT pour le premier trimestre 2023.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/north-koreas-scarcruft-deploys-rokrat.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 mai 2023\ue804Ravie LakshmananRenseignements sur les menaces L&#8217;acteur mena\u00e7ant nord-cor\u00e9en connu sous le nom de ScarCruft a commenc\u00e9 \u00e0 exp\u00e9rimenter des fichiers LNK surdimensionn\u00e9s comme voie de livraison pour les logiciels malveillants RokRAT d\u00e8s juillet 2022, le m\u00eame mois o\u00f9 Microsoft a commenc\u00e9 \u00e0 bloquer les macros dans les documents Office par d\u00e9faut. &#8220;RokRAT n&#8217;a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":714120,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2882,4168,2344,4158,4165,4161,7050,35167,21769,4157,4159,4171,4170,65,140193,6816,4167,7733,4160,1005,4163,4162,159934,130502,4172,4169,4166,4164],"class_list":["post-714119","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chaines","tag-comment-pirater","tag-coree","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deploie","tag-dinfection","tag-fichiers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-lnk","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nord","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-rokrat","tag-scarcruft","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/714119","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=714119"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/714119\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/714120"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=714119"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=714119"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=714119"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}