North_Korean_hackers

La société américaine de cybersécurité KnowBe4 affirme qu’une personne qu’elle a récemment embauchée en tant qu’ingénieur logiciel principal s’est avérée être un acteur étatique nord-coréen qui a tenté d’installer un vol d’informations sur ses appareils.

L’entreprise a détecté et arrêté les actions malveillantes à temps, de sorte qu’aucune violation de données ne s’est produite. Cependant, l’affaire met en évidence la menace continue posée par les acteurs de la menace nord-coréens se faisant passer pour du personnel informatique, ce dont le FBI a mis en garde à plusieurs reprises depuis 2023.

La RPDC maintient une armée hautement organisée de travailleurs informatiques qui masquent leur véritable identité pour se faire embaucher par des centaines d’entreprises américaines.

Les revenus générés par ces travailleurs sont utilisés pour financer les programmes d’armement et les cyberopérations du pays, ainsi que pour collecter des renseignements.

Masquage assisté par IA
Avant d’embaucher l’acteur de la menace, KnowBe4 a effectué des vérifications des antécédents, vérifié les références fournies et mené quatre entretiens vidéo pour s’assurer qu’il s’agissait d’une personne réelle et que son visage correspondait à celui de son CV.

Cependant, il a été déterminé par la suite que la personne avait soumis l’identité volée d’une personne américaine pour esquiver les vérifications préliminaires, et avait également utilisé des outils d’IA pour créer une photo de profil et faire correspondre ce visage lors des vidéoconférences.

KnowBe4, qui se spécialise dans la formation à la sensibilisation à la sécurité et les simulations d’hameçonnage, soupçonnait que quelque chose n’allait pas le 15 juillet 2024, lorsque son produit EDR a signalé une tentative de chargement de logiciels malveillants à partir du poste de travail Mac qui venait d’être envoyé au nouvel employé.

Un porte-parole de KnowBe4 a déclaré à Breachtrace que le logiciel malveillant était un revendeur d’informations ciblant les données stockées sur les navigateurs Web, et que l’employé malhonnête espérait probablement extraire les informations laissées sur l’ordinateur avant qu’elles ne lui soient commandées.

« L’attaquant peut [avoir utilisé] cela pour trouver les informations d’identification restantes des sessions de navigateur précédentes à la suite du processus d’approvisionnement initial d’un service informatique ou pour extraire les informations restantes d’un ordinateur portable incomplet ou mal effacé précédemment délivré à un autre employé. »le porte-parole de KnowBe4 a déclaré à Breachtrace .

Lorsqu’il a été confronté par le personnel informatique de l’entreprise à propos de l’activité, l’acteur étatique a d’abord projeté des excuses, mais a rapidement cessé toute communication.

« Lorsque ces alertes sont arrivées, l’équipe SOC de KnowBe4 a contacté l’utilisateur pour se renseigner sur l’activité anormale et la cause possible. XXXX (l’auteur de la menace) a répondu au SOC qu’il suivait les étapes du guide de son routeur pour résoudre un problème de vitesse et que cela avait peut-être provoqué une compromission.

L’attaquant a effectué diverses actions pour manipuler les fichiers d’historique de session, transférer des fichiers potentiellement dangereux et exécuter des logiciels non autorisés. Il a utilisé un Raspberry Pi pour télécharger le malware. SOC a tenté d’obtenir plus de détails de XXXX, y compris de le faire appeler. XXXX a déclaré qu’il n’était pas disponible pour un appel et qu’il ne répondait plus par la suite. »

❖ Connaissez4


Un article du PDG de KnowBe4, Stu Sjouwerman, explique que le stratagème consiste à inciter l’employeur à envoyer le poste de travail à une « ferme informatique mule » basée à proximité de l’emplacement que le fraudeur a déclaré comme adresse personnelle sur sa demande.

Ensuite, ils utilisent un VPN pour se connecter à cet appareil pendant la nuit, il semble donc qu’ils travaillent aux États-Unis et effectuent les tâches qui leur sont confiées normalement.

Pour atténuer ce risque, KnowBe4 suggère que les entreprises maintiennent un bac à sable pour les nouvelles recrues isolées de leurs parties les plus critiques du réseau.

L’entreprise dit également de s’assurer que les appareils externes des nouveaux employés ne sont pas utilisés à distance et de traiter les incohérences d’adresse de livraison comme un drapeau rouge.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *