Getty Images
Les acteurs de la menace liés au gouvernement nord-coréen ont ciblé les chercheurs en sécurité dans une campagne de piratage qui utilise de nouvelles techniques et des logiciels malveillants dans l’espoir de prendre pied au sein des entreprises pour lesquelles les cibles travaillent, ont déclaré des chercheurs.
Les chercheurs de la société de sécurité Mandiant ont déclaré jeudi qu’ils avaient repéré la campagne pour la première fois en juin dernier alors qu’ils suivaient une campagne de phishing ciblant un client américain de l’industrie technologique. Les pirates de cette campagne ont tenté d’infecter des cibles avec trois nouvelles familles de logiciels malveillants, surnommées par Mandiant Touchmove, Sideshow et Touchshift. Les pirates de ces attaques ont également démontré de nouvelles capacités pour contrer les outils de détection des terminaux tout en opérant dans les environnements cloud des cibles.
« Mandiant soupçonne que l’UNC2970 visait spécifiquement des chercheurs en sécurité dans cette opération », ont écrit les chercheurs de Mandiant.
Peu de temps après avoir découvert la campagne, Mandiant a répondu à de multiples intrusions dans des organisations médiatiques américaines et européennes par UNC2970, le nom donné par Mandiant à l’acteur menaçant nord-coréen. L’UNC2970 a utilisé le spearphishing avec un thème de recrutement d’emplois dans le but d’attirer les cibles et de les inciter à installer le nouveau malware.
Traditionnellement, UNC2970 a ciblé les organisations avec des e-mails de harponnage qui ont des thèmes de recrutement. Plus récemment, le groupe est passé à l’utilisation de faux comptes LinkedIn appartenant à de prétendus recruteurs. Les comptes sont soigneusement conçus pour imiter l’identité de personnes légitimes afin de tromper les cibles et d’augmenter leurs chances de succès. Finalement, l’acteur de la menace essaie de transférer les conversations vers WhatsApp et, à partir de là, utilise WhatsApp ou le courrier électronique pour envoyer une porte dérobée Mandiant appelle Plankwalk ou d’autres familles de logiciels malveillants.
Plankwalk ou les autres logiciels malveillants utilisés sont principalement diffusés via des macros intégrées dans des documents Microsoft Word. Lorsque les documents sont ouverts et que les macros sont autorisées à s’exécuter, la machine de la cible télécharge et exécute une charge utile malveillante à partir d’un serveur de commande et de contrôle. Un des documents utilisés ressemblait à ceci :
Mandiant
Les serveurs de commande et de contrôle des attaquants sont principalement des sites WordPress compromis, une autre technique pour laquelle UNC2970 est connu. Le processus d’infection consiste à envoyer à la cible un fichier d’archive qui, entre autres, inclut une version malveillante de l’application de bureau à distance TightVNC. Dans l’article, les chercheurs de Mandiant ont décrit plus en détail le processus :
Le fichier ZIP fourni par UNC2970 contenait ce que la victime pensait être un test d’évaluation des compétences pour une candidature à un emploi. En réalité, le ZIP contenait un fichier ISO, qui comprenait une version trojanisée de TightVNC que Mandiant suit comme LIDSHIFT. La victime a reçu pour instruction d’exécuter l’application TightVNC qui, avec les autres fichiers, porte le nom approprié de l’entreprise pour laquelle la victime avait prévu de passer l’évaluation.
En plus de fonctionner comme un visualiseur TightVNC légitime, LIDSHIFT contenait plusieurs fonctionnalités cachées. La première était qu’à l’exécution par l’utilisateur, le logiciel malveillant renvoyait une balise à son C2 codé en dur ; la seule interaction nécessaire de la part de l’utilisateur était le lancement du programme. Ce manque d’interaction diffère de ce que MSTIC a observé dans son récent article de blog. La balise C2 initiale de LIDSHIFT contient le nom d’utilisateur et le nom d’hôte initiaux de la victime.
La deuxième capacité de LIDSHIFT est d’injecter de manière réflexive une DLL cryptée dans la mémoire. La DLL injectée est un plug-in Notepad++ trojanisé qui fonctionne comme un téléchargeur, que Mandiant suit en tant que LIDSHOT. LIDSHOT est injecté dès que la victime ouvre le menu déroulant à l’intérieur de l’application TightVNC Viewer. LIDSHOT a deux fonctions principales : l’énumération du système et le téléchargement et l’exécution du shellcode depuis le C2.
L’attaque se poursuit par l’installation de la porte dérobée Plankwalk, qui peut ensuite installer une large gamme d’outils supplémentaires, y compris l’application de point de terminaison Microsoft InTune. InTune peut être utilisé pour fournir des configurations aux points de terminaison inscrits au service Azure Active Directory d’une organisation. L’UNC2970 semble utiliser l’application légitime pour contourner les protections des terminaux.
« Les outils malveillants identifiés mettent en évidence le développement continu de logiciels malveillants et le déploiement de nouveaux outils par UNC2970 », ont écrit les chercheurs de Mandiant. « Bien que le groupe ait précédemment ciblé les industries de la défense, des médias et de la technologie, le ciblage des chercheurs en sécurité suggère un changement de stratégie ou une expansion de ses opérations. »
Alors que le ciblage des chercheurs en sécurité peut être nouveau pour UNC2970, d’autres acteurs de la menace nord-coréens se sont engagés dans l’activité depuis au moins 2021.
Les cibles peuvent réduire les risques d’infection dans ces campagnes en utilisant :
- Authentification multifacteur
- Comptes cloud uniquement pour accéder à Azure Active Directory
- Un compte distinct pour l’envoi d’e-mails, la navigation sur le Web et des activités similaires et un compte administrateur dédié pour les fonctions administratives sensibles.
Les organisations doivent également envisager d’autres protections, notamment le blocage des macros et l’utilisation de la gestion des identités privilégiées, des politiques d’accès conditionnel et des restrictions de sécurité dans Azure AD. Il est également recommandé d’exiger que plusieurs administrateurs approuvent les transactions InTune. La liste complète des atténuations est incluse dans le post Mandiant ci-dessus.