Des acteurs mena\u00e7ants parrain\u00e9s par l’\u00c9tat de la R\u00e9publique populaire d\u00e9mocratique de Cor\u00e9e (RPDC) ont \u00e9t\u00e9 d\u00e9couverts ciblant les ing\u00e9nieurs blockchain d’une plate-forme d’\u00e9change de crypto-monnaie anonyme via Discord avec un nouveau malware macOS baptis\u00e9 KANDYKORN<\/strong>.<\/p>\n Elastic Security Labs a d\u00e9clar\u00e9 que cette activit\u00e9, remontant \u00e0 avril 2023, pr\u00e9sente des chevauchements avec le tristement c\u00e9l\u00e8bre collectif contradictoire Lazarus Group, citant une analyse de l’infrastructure r\u00e9seau et des techniques utilis\u00e9es.<\/p>\n “Les acteurs malveillants ont attir\u00e9 les ing\u00e9nieurs de la blockchain avec une application Python pour obtenir un premier acc\u00e8s \u00e0 l’environnement”, chercheurs en s\u00e9curit\u00e9 Ricardo Ungureanu, Seth Goodwin et Andrew Pease. dit<\/a> dans un rapport publi\u00e9 aujourd’hui.<\/p>\n “Cette intrusion impliquait plusieurs \u00e9tapes complexes qui utilisaient chacune des techniques d\u00e9lib\u00e9r\u00e9es d’\u00e9vasion de la d\u00e9fense.”<\/p>\n Ce n\u2019est pas la premi\u00e8re fois que le groupe Lazarus exploite des logiciels malveillants macOS dans ses attaques. Plus t\u00f4t cette ann\u00e9e, l’acteur malveillant a \u00e9t\u00e9 observ\u00e9 en train de distribuer une application PDF d\u00e9rob\u00e9e qui a abouti au d\u00e9ploiement de RustBucket, une porte d\u00e9rob\u00e9e bas\u00e9e sur AppleScript capable de r\u00e9cup\u00e9rer une charge utile de deuxi\u00e8me \u00e9tape \u00e0 partir d’un serveur distant.<\/p>\n Ce qui distingue la nouvelle campagne, c’est l’usurpation d’identit\u00e9 d’ing\u00e9nieurs blockchain sur un serveur Discord public, employant des leurres d’ing\u00e9nierie sociale pour inciter les victimes \u00e0 t\u00e9l\u00e9charger et \u00e0 ex\u00e9cuter une archive ZIP contenant du code malveillant.<\/p>\n “La victime croyait qu’ils installaient un robot d’arbitrage<\/a>un outil logiciel capable de profiter des diff\u00e9rences de taux de cryptomonnaie entre les plateformes”, ont expliqu\u00e9 les chercheurs. Mais en r\u00e9alit\u00e9, la cha\u00eene d’attaque a ouvert la voie \u00e0 la livraison de KANDYKORN apr\u00e8s un processus en cinq \u00e9tapes.<\/p>\n “KANDYKORN est un implant avanc\u00e9 dot\u00e9 de diverses capacit\u00e9s pour surveiller, interagir et \u00e9viter la d\u00e9tection”, ont d\u00e9clar\u00e9 les chercheurs. “Il utilise le chargement r\u00e9fl\u00e9chissant, une forme d’ex\u00e9cution en m\u00e9moire directe qui peut contourner les d\u00e9tections.”<\/p>\n Le point de d\u00e9part est un script Python (watcher.py), qui r\u00e9cup\u00e8re un autre script Python (testSpeed.py) h\u00e9berg\u00e9 sur Google Drive. Ce compte-gouttes, pour sa part, r\u00e9cup\u00e8re un autre fichier Python \u00e0 partir d’une URL Google Drive, nomm\u00e9 FinderTools.<\/p>\n FinderTools fonctionne \u00e9galement comme un compte-gouttes, t\u00e9l\u00e9chargeant et ex\u00e9cutant une charge utile cach\u00e9e de deuxi\u00e8me \u00e9tape appel\u00e9e CHARGEUR DE SUCRE<\/a> (\/Users\/shared\/.sld et .log) qui se connecte finalement \u00e0 un serveur distant afin de r\u00e9cup\u00e9rer KANDYKORN et l’ex\u00e9cuter directement en m\u00e9moire.<\/p>\n SUGARLOADER est \u00e9galement responsable du lancement d’un binaire auto-sign\u00e9 bas\u00e9 sur Swift appel\u00e9 CHARGEUR<\/a> qui tente de se faire passer pour l’application Discord l\u00e9gitime et ex\u00e9cute .log (c’est-\u00e0-dire SUGARLOADER) pour obtenir la persistance \u00e0 l’aide d’une m\u00e9thode appel\u00e9e d\u00e9tournement du flux d’ex\u00e9cution<\/a>.<\/p>\n KANDYKORN, qui est la charge utile de l’\u00e9tape finale, est un RAT r\u00e9sident en m\u00e9moire complet avec des capacit\u00e9s int\u00e9gr\u00e9es pour \u00e9num\u00e9rer les fichiers, ex\u00e9cuter des logiciels malveillants suppl\u00e9mentaires, exfiltrer des donn\u00e9es, mettre fin \u00e0 des processus et ex\u00e9cuter des commandes arbitraires.<\/p>\n “La RPDC, via des unit\u00e9s comme le GROUPE LAZARUS, continue de cibler les entreprises de l’industrie de la cryptographie dans le but de voler des cryptomonnaies afin de contourner les sanctions internationales qui entravent la croissance de leur \u00e9conomie et de leurs ambitions”, ont indiqu\u00e9 les chercheurs.<\/p>\n Cette divulgation intervient alors que l’\u00e9quipe d’analyse des menaces de S2W a d\u00e9couvert une variante mise \u00e0 jour d’un logiciel espion Android appel\u00e9 FastViewer, utilis\u00e9 par un groupe de menaces nord-cor\u00e9en baptis\u00e9 Kimsuky (alias APT43), une soci\u00e9t\u00e9 de piratage s\u0153ur du groupe Lazarus.<\/p>\n FastViewer, document\u00e9 pour la premi\u00e8re fois par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 sud-cor\u00e9enne en octobre 2022, abuse des services d’accessibilit\u00e9 d’Android pour collecter secr\u00e8tement des donn\u00e9es sensibles sur des appareils compromis en se faisant passer pour des applications de s\u00e9curit\u00e9 ou de commerce \u00e9lectronique apparemment inoffensives qui se propagent via le phishing ou le smishing.<\/p>\n Il est \u00e9galement con\u00e7u pour t\u00e9l\u00e9charger un malware de deuxi\u00e8me \u00e9tape nomm\u00e9 FastSpy, bas\u00e9 sur le projet open source AndroSpy, afin d’ex\u00e9cuter des commandes de collecte de donn\u00e9es et d’exfiltration.<\/p>\n “La variante est en production depuis au moins juillet 2023 et, comme la version initiale, elle induit l’installation en distribuant des APK reconditionn\u00e9s qui incluent du code malveillant dans des applications l\u00e9gitimes”, S2W dit<\/a>.<\/p>\n Un aspect notable de la nouvelle version est l’int\u00e9gration des fonctionnalit\u00e9s de FastSpy dans FastViewer, \u00e9vitant ainsi le besoin de t\u00e9l\u00e9charger des logiciels malveillants suppl\u00e9mentaires. Cela dit, S2W a d\u00e9clar\u00e9 “qu’il n’y a aucun cas connu de propagation de cette variante dans la nature”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Des-pirates-nord-coreens-ciblent-les-experts-en-cryptographie-avec-le.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\nKimsuky refait surface avec le logiciel malveillant FastViewer mis \u00e0 jour<\/h2>\n
<\/a><\/div>\n