vendredi, 29 mars 2024

La campagne « GoldDragon » compromet certaines cibles sud-coréennes

La star de la menace nord-coréenne « Kimsuky » compromet les diplomates, les autorités gouvernementales et les universitaires sud-coréens à partir d’une liste pré-compilée au moyen d’une campagne de harponnage chargée de logiciels malveillants, ont déclaré aujourd’hui les scientifiques de la sécurité de Kaspersky dans une menace rapport.

Le cluster « GoldDragon »

Le mois dernier, la société de cybersécurité Volexity a connecté la star du danger Kimsuky, parrainée par l’État, à une opération de renseignement au cours de laquelle des e-mails Gmail et AOL ont été détournés via une extension de navigateur Web Chrome destructrice appelée « Sharpext ».

Selon les chercheurs en sécurité de Kaspersky, une nouvelle campagne GoldDragon utilise une liste de cibles pour diffuser des logiciels malveillants qui enregistrent les frappes des utilisateurs, conservent les identifiants de connexion des utilisateurs, etc. Sur la base des traces d’adresses e-mail côté serveur des victimes, le groupe de Kaspersky a en fait confirmé que Kimsuky est à l’origine du projet.

La toute nouvelle campagne comprend des messages de harponnage par e-mail contenant des fichiers Microsoft Word destructeurs contenant du contenu lié à la tension géopolitique dans la région coréenne qui intéressera les cibles. Les e-mails nuisibles se font généralement passer pour de véritables demandes d’honoraires, complétées par des CV de personnalités. Dans un exemple, un e-mail incluait du contenu sur la « Conférence sur le leadership asiatique » de 2022 pour dessiner choisir des cibles pour télécharger les pièces jointes.

Si une victime n’intéresse pas l’agresseur, l’adresse e-mail n’est pas enregistrée lorsqu’un la victime clique dessus. Au lieu de cela, cliquer sur le lien ouvre un fichier inoffensif. Pour les personnes intéressées, des détails sur l’adresse IP d’une victime, les informations du navigateur Web et le matériel du système sont transmis aux serveurs cybercriminels situés sur des services d’hébergement d’entreprises partout dans le monde selon ce que les scientifiques appellent une «méthode de confirmation de la victime» hautement sélective. Suite à cela, l’appareil de la victime est compromis.

Les chercheurs ont montré une liste de victimes dans l’analyse, y compris un professeur d’université sud-coréen, le directeur général d’une organisation gouvernementale sud-coréenne, plusieurs scientifiques d’un groupe de réflexion et potentiellement un ancien ambassadeur coréen aux Nations Unies.

Techniques de leurre « occasionnelles », modèle de script Visual Basic

Les scientifiques ont rencontré plusieurs voies alternatives vers les attaques. Par exemple, l’acteur a caché des logiciels malveillants dans des fichiers d’application HTML (.hta) et d’assistance (.chm) connectés.

Lors de la célébration, le document leurre « Hangeul » a été envoyé aux adresses e-mail des victimes. La conception de la signature de l’acteur consiste néanmoins à insérer un script Visual Basic (.vbs) dans un e-mail de phishing via un serveur C2 (commande et contrôle) distant pour marquer et infecter les appareils victimes.

Suite à cela, des charges utiles supplémentaires de logiciels malveillants peuvent être injectées, y compris un exécutable (. exe) qui exfiltre toute information sélectionnée.

Kimsuky, Operational Given That 2012

Kimsuky– également appelé Thallium, Black Banshee et Velour Chollima – est classé comme une menace persistante avancée (APT) de grande ligue qui est en fait fonctionnelle depuis 2012. Cette APT est « parmi les acteurs de menace les plus respectés et les plus actifs de la péninsule coréenne », opérant dans un certain nombre de clusters comprenant GoldDragon, ont déclaré les scientifiques.

L’acteur est également connu pour ses succès dans l’industrie et l’énergie. En juin 2021, l’acteur a violé le réseau interne de l’Institut sud-coréen de l’énergie atomique (KAERI).

Kimsuky utilise des stratégies avancées telles que le harponnage et les attaques de points d’eau sur des cibles, en ajustant et en mettant à jour en permanence sa boîte à outils de cyberattaque. Historiquement, la star a préféré les diplomates, les journalistes, les politiciens, les enseignants et les transfuges nord-coréens comme cibles principales.

Suivre Kimsuky est une tâche difficile car les chercheurs ont besoin d’une chaîne d’attaque complète pour produire un résultat. « Le groupe Kimsuky fait continuellement évoluer ses plans d’infection par des logiciels malveillants et adopte des stratégies uniques pour empêcher l’analyse », a déclaré Seongsu Park de Kaspersky.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici