Une nouvelle cyberattaque orchestrée par le groupe de hackers nord-coréen Kimsuky exploite une ruse basée sur PowerShell pour compromettre les appareils de leurs victimes. En se faisant passer pour un officiel sud-coréen, les pirates parviennent à convaincre leurs cibles d’exécuter volontairement un code malveillant. Cette méthode, détectée par Microsoft Threat Intelligence, souligne l’ingéniosité croissante des cybercriminels et la nécessité pour les entreprises et les particuliers d’adopter des solutions de cybersécurité efficaces.
Une attaque par ingénierie sociale et exploitation de PowerShell
Une fausse identité pour établir la confiance
Les pirates du groupe Kimsuky ont recours à une technique avancée d’ingénierie sociale. Ils se font passer pour des représentants du gouvernement sud-coréen et tissent patiemment une relation de confiance avec leurs cibles. Une fois cette confiance établie, ils envoient un email de spear-phishing contenant une pièce jointe sous forme de faux document PDF.
Une procédure de « validation » trompeuse
Les victimes sont invitées à ouvrir le document en suivant un lien qui leur propose une liste d’étapes pour « enregistrer » leur système Windows. Cette procédure leur demande d’exécuter PowerShell en mode administrateur, de copier-coller un code affiché sur la page et de le lancer. En réalité, ce code télécharge et installe un outil de bureau à distance, permettant aux hackers de prendre le contrôle de l’appareil.
Conséquences et sophistication de l’attaque
Un accès à distance et une exfiltration de données
Une fois le code exécuté, le malware télécharge un certificat contenant un code PIN unique depuis un serveur distant. Ce certificat sert à identifier l’ordinateur infecté et permet aux hackers d’accéder à la machine. Dès lors, ils peuvent procéder au vol de données confidentielles et à d’autres activités malveillantes à distance.
Une technique qui contourne les solutions de sécurité
L’approche adoptée par Kimsuky représente une avancée significative dans l’arsenal des cybercriminels. Plutôt que d’exploiter une faille logicielle, cette attaque repose sur la crédulité des utilisateurs, les incitant à infecter eux-mêmes leur machine. Cette méthode, similaire aux attaques basées sur la technique du ClickFix, complique la détection par les solutions de cybersécurité traditionnelles.
Un réseau de cybercriminalité nord-coréen bien organisé
Une fraude au recrutement dans les entreprises américaines
Parallèlement à ces attaques, une femme de l’État de l’Arizona a plaidé coupable pour son rôle dans un vaste réseau de fraude informatique lié à la Corée du Nord. Entre 2020 et 2023, elle a aidé des experts en informatique nord-coréens à obtenir des postes à distance dans près de 300 entreprises américaines en usurpant des identités de citoyens américains.
Une menace économique et sécuritaire
Ce système de fraude a généré plus de 17 millions de dollars de revenus illégaux, permettant aux cybercriminels nord-coréens d’infiltrer des entreprises, y compris des multinationales du Fortune 500. Certains de ces agents infiltrés ont même tenté d’extorquer leurs employeurs en retenant des données sensibles en otage.
Comment se protéger de ce type d’attaque ?
Face à des menaces aussi sophistiquées, les entreprises doivent renforcer leur posture de cybersécurité. La mise en place de solutions comme le filtrage des emails, l’analyse des activités suspectes et une protection avancée contre les malwares est essentielle. Former les collaborateurs à détecter les tentatives d’ingénierie sociale est également une mesure clé pour éviter d’être victime de ce type de cyberattaque.
Pour contrer ces menaces en constante évolution, l’équipe de CyberCare propose des services de sécurité informatique avancés, incluant la surveillance des cybermenaces et la mise en place de solutions de protection adaptées aux entreprises.
