in

Les pirates nord-coréens relancent les opérations d’espionnage après le retrait de décembre

Des pirates informatiques nord-coréens ont lancé une opération de courrier électronique ciblant les personnes intéressées par les réfugiés nord-coréens, selon une nouvelle étude d’ESTsecurity, une société de sécurité basée en Corée du Sud.

Le groupe de cyberespionnage, que les chercheurs de l’ESsecurity Security Response Center (ESRC) attribuent à un groupe appelé Geumseong121, incite ses victimes à cliquer sur des liens qui semblent concerner les réfugiés nord-coréens. Mais au lieu de fournir des informations précieuses, le lien pointe les destinataires vers des référentiels qui téléchargent des fichiers malveillants, selon ESRC.

La campagne, que l’ESRC a nommée «Operation Spy Cloud» car elle repose sur des services cloud, montre le groupe de piratage qui reprend ses activités après un revers en décembre lorsque Microsoft a saisi 50 sites Web utilisés par le groupe dans des campagnes de spearphishing. Le groupe est également largement connu sous le nom d’APT37.

Après le retrait, le groupe travaille à cacher ses activités, selon l’ESRC. Les attaquants semblent avoir choisi d’inviter les utilisateurs à cliquer sur les liens dans leurs e-mails de chasse, par exemple, au lieu de joindre directement les documents malveillants dans l’espoir d’éviter les solutions de sécurité.

«Cela permet aux attaquants de modifier ou de supprimer des fichiers selon les besoins, pour échapper à la détection et minimiser l’empreinte», écrivent des chercheurs de l’ESRC.

La campagne, qui a commencé plus tôt ce mois-ci, n’est que la dernière opération d’espionnage dirigée par Geumseong121. L’année dernière, les pirates nord-coréens ont mené une opération liée aux transfuges nord-coréens. Connue sous le nom de «Dragon Messenger», cette opération ciblait à la fois les transfuges et les organisations liées à la Corée du Nord avec une application malveillante censée être une application de collecte de fonds pour les transfuges nord-coréens. La motivation du groupe semblait être à la fois un gain financier et une surveillance, selon des recherches antérieures de l’ESRC.

Bien que les objectifs exacts de la campagne Spy Cloud ne soient pas clairs, le groupe se concentre généralement sur les personnes investies dans la réunification entre la Corée du Nord et la Corée du Sud, les affaires étrangères, la sécurité nationale ou les réfugiés nord-coréens, selon ESRC.

L’attaque

Une fois que les victimes ont cliqué sur les liens et les documents malveillants, qui vont de .doc, .xls à .hwp – un format de traitement de texte utilisé par le gouvernement coréen – les attaquants distribuent également des fichiers de macro Visual Basic pour Applications (VBA) malveillants aux victimes. .

Le logiciel malveillant se connecte ensuite au serveur de commande et de contrôle des attaquants, Google Drive, et tente de partager les informations système avec PickCloud. Une fois qu’un utilisateur arrive à cette étape, les attaquants peuvent également essayer d’installer des portes dérobées supplémentaires, selon les chercheurs.

La campagne comprend des composants basés sur Windows et Android, selon ESRC.

Au-delà des similitudes de contenu, ESRC attribue la campagne à Geumseong121 parce que les tactiques, les techniques, les procédures et la charge utile finale sont «exactement les mêmes que les matériaux» utilisés dans une autre récente opération de cyberespionnage menée par le groupe, écrivent les chercheurs de l’ESRC. . L’ESRC a également trouvé des techniques de codage similaires et une dépendance similaire à l’égard des services cloud entre les campagnes Geumseong121 précédentes et la campagne Spy Cloud.

Les chercheurs de l’ESRC notent que le compte de messagerie utilisé pour enregistrer les services cloud dans cette campagne est similaire à un compte que le groupe a également utilisé dans les campagnes précédentes.

Il n’est pas clair si Geumseong121 a réussi à exfiltrer des données ce mois-ci ou quels types d’informations ou de gains financiers le groupe pourrait finalement rechercher à ce moment.

 

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Airtel prolonge la validité du plan prépayé jusqu’au 17 avril pour tous les clients

Les applications de vidéoconférence ont enregistré des téléchargements record en une semaine seulement