N. Kimsuky : Attaques par porte dérobée sur les instituts de recherche en Corée du Sud

« L’acteur de la menace utilise finalement une porte dérobée pour voler des informations et exécuter des commandes », a déclaré l’AhnLab Security Emergency Response Center (ASEC) dans une analyse publiée la semaine dernière.

Les chaînes d’attaque commencent par un leurre de déclaration d’importation qui est en fait un fichier JSE malveillant contenant un script PowerShell obscurci, une charge utile codée en Base64 et un document PDF leurre.

L’étape suivante consiste à ouvrir le fichier PDF pour faire diversion, tandis que le script PowerShell est exécuté en arrière-plan pour lancer la porte dérobée.

Le logiciel malveillant, quant à lui, est configuré pour collecter des informations sur le réseau et d’autres données pertinentes (nom d’hôte, nom d’utilisateur et version du système d’exploitation) et transmettre les détails codés à un serveur distant. Il est également capable d’exécuter des commandes, des charges utiles supplémentaires et de se terminer lui-même, ce qui le transforme en porte dérobée permettant d’accéder à distance à l’hôte infecté.
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez dans la psychologie des cyberattaquants lors de notre prochain webinaire.

Kimsuky, actif depuis au moins 2012, a commencé par cibler des entités gouvernementales sud-coréennes, des groupes de réflexion et des personnes identifiées comme des experts dans divers domaines, avant d’étendre son empreinte victimologique à l’Europe, à la Russie et aux États-Unis. Kimsuky a concentré ses activités de collecte de renseignements sur les questions de politique étrangère et de sécurité nationale liées aux sanctions de la politique nucléaire de la péninsule coréenne », a indiqué la société de cybersécurité ThreatMon dans un rapport récent.

Le groupe parrainé par l’État a également été observé en train d’exploiter des URL piégées qui, lorsqu’elles sont cliquées, téléchargent une fausse archive ZIP se faisant passer pour une mise à jour du navigateur Chrome afin de déployer un VBScript malveillant à partir de Google Drive qui utilise le stockage dans le nuage comme conduit pour l’exfiltration de données et le commandement et le contrôle (C2).

Ce développement intervient alors que la société de sécurité blockchain SlowMist a impliqué le célèbre groupe Lazarus, soutenu par la Corée du Nord, dans une vaste campagne de phishing sur Telegram ciblant le secteur des crypto-monnaies. « Plus récemment, ces pirates ont intensifié leurs tactiques en se faisant passer pour des institutions d’investissement réputées, exécutant des escroqueries par phishing contre diverses équipes de projets de crypto-monnaies, a déclaré la société basée à Singapour, après avoir établi un rapport, les cibles ont été trompées et ont téléchargé un script malveillant sous prétexte de partager un lien de réunion en ligne facilitant le vol de crypto-monnaies. »

Cela fait également suite à un rapport de l’agence de police métropolitaine de Séoul (SMPA) qui accuse le sous-groupe Lazarus sous le nom de code Andariel d’avoir volé des crypto-monnaies.de Lazarus, dont le nom de code est Andariel, de voler des informations techniques sur des systèmes d’armes antiaériens à des entreprises de défense nationales de blanchir le produit du ransomware vers la Corée du Nord. On estime que plus de 250 fichiers représentant 1,2 téraoctets ont été volés. avec des identités floues » point d’entrée le groupe a extorqué 470 millions de wons 356 000 dollars en bitcoins trois entreprises sud-coréennes les attaques par ransomware les ont blanchies par le biais d’échanges d’actifs virtuels tels que Bithumb Binance à noter Andariel déploiement lié Maui ransomware passé signe gratuit commencer à recevoir une dose quotidienne de cybersécurité nouvelles idées conseils