Un groupe de piratage nord-coréen serait à l’origine d’une nouvelle campagne de logiciels malveillants qui utilise de fausses offres d’emploi sur LinkedIn pour attirer ses victimes.
Le groupe publie de fausses offres d’emploi dans les secteurs des médias, de la technologie et de la défense sous le couvert de recruteurs légitimes. Ils se sont même fait passer pour le New York Times dans une publicité.
Société de renseignements sur les menaces Mandiant (s’ouvre dans un nouvel onglet) a découvert que la campagne est en cours depuis juin 2022. Il pense qu’elle est liée à une autre campagne de logiciels malveillants en provenance de Corée du Nord, menée par le tristement célèbre groupe Lazarus, connu sous le nom d' »Operation Dream Job », qui viole les systèmes appartenant aux utilisateurs de crypto.
Phishing pour les victimes
Mandiant, pour sa part, pense que la nouvelle campagne provient d’un groupe distinct de Lazarus, et est unique en ce que les logiciels malveillants TouchMove, SideShow et TouchShift utilisés dans les attaques n’ont jamais été vus auparavant.
Après qu’un utilisateur a répondu à l’offre d’emploi de LinkedIn, les pirates continuent ensuite le processus sur WhatsApp, où ils partagent un document Word contenant des macros dangereuses, qui installent des chevaux de Troie à partir de sites WordPress que les pirates ont piratés et utilisent comme centre de contrôle.
Ce cheval de Troie, basé sur TightVNC et connu sous le nom de LidShift, télécharge à son tour un plugin Notepad++ malveillant qui télécharge un logiciel malveillant connu sous le nom de LidShot, qui déploie ensuite la charge utile finale sur l’appareil : la porte dérobée PlankWalk.
Après cela, les pirates utilisent ensuite un compte-gouttes de logiciels malveillants appelé TouchShift, dissimulé dans un fichier binaire Windows. Cela charge une pléthore de contenus malveillants supplémentaires, notamment TouchShot et TouchKey, respectivement un utilitaire de capture d’écran et un enregistreur de frappe, ainsi qu’un appel de chargeur TouchMove.
Il charge également une autre porte dérobée appelée SideShow, qui permet un contrôle de haut niveau sur le système de l’hôte, comme la possibilité de modifier le registre, de modifier les paramètres du pare-feu et d’exécuter des charges utiles supplémentaires.
Les pirates ont également utilisé le malware CloudBurst sur des entreprises qui n’utilisaient pas de VPN, en abusant du service de gestion des terminaux Microsoft Intune.
En outre, les pirates ont également exploité une faille zero-day dans le pilote ASUS « Driver7.sys », qui est utilisé par une autre charge utile appelée LightShow pour corriger les routines du noyau dans le logiciel de protection Endpoint afin d’empêcher la détection. Cette faille a depuis été corrigée.