Le Centre de Coordination des Équipes d’intervention en cas d’urgence informatique du Japon (JPCERT/CC) avertit que les organisations japonaises sont la cible d’attaques de la part des acteurs de la menace nord-coréenne « Kimsuky ».

Le gouvernement américain a attribué Kimsuky à un groupe nord-coréen de menaces persistantes avancées (APT) qui mène des attaques contre des cibles dans le monde entier pour recueillir des renseignements sur des sujets d’intérêt pour le gouvernement nord-coréen.

Les acteurs de la menace sont connus pour utiliser l’ingénierie sociale et le phishing pour obtenir un accès initial aux réseaux. Ils déploient ensuite des logiciels malveillants personnalisés pour voler des données et conserver la persistance sur les réseaux.

Le Japon affirme que des attaques Kimsuky ont été détectées plus tôt cette année et que l’attribution était basée sur des indicateurs de compromission (IOC) partagés par le AhnLab Security Intelligence Center (ASEC) dans deux rapports distincts (1, 2).

« JPCERT / CC a confirmé des activités d’attaque visant des organisations japonaises par un groupe d’attaque appelé Kimsuky en mars 2024 », prévient le JPCERT.

Commence par l’hameçonnage
Les attaquants commencent leurs attaques en envoyant des courriels de phishing usurpant l’identité d’organisations de sécurité et diplomatiques à des cibles au Japon, avec une pièce jointe ZIP malveillante.

Le ZIP contient un exécutable qui conduit à une infection par un logiciel malveillant et deux fichiers de documents leurres. Le nom du fichier exécutable utilise également de nombreux espaces pour apparaître en tant que document, masquant le « .partie » exe ».

Lorsqu’elle est exécutée par la victime, la charge utile télécharge et exécute un fichier VBS et configure également ‘C:\Users\Public\Pictures\desktop.dedans.bak ‘ pour démarrer automatiquement via Wscript.

Le fichier VBS télécharge un script PowerShell pour collecter des informations, telles que des listes de processus, des détails sur le réseau, des listes de fichiers à partir de dossiers (Téléchargements, Documents, Bureau) et des informations sur le compte d’utilisateur. Ces informations sont ensuite envoyées à une URL distante sous le contrôle des attaquants.

Ces informations collectées aident Kimsuky à déterminer si l’appareil infecté est une machine utilisateur légitime ou un environnement d’analyse.

Enfin, un nouveau fichier VBS est créé et exécuté pour télécharger un script PowerShell qui enregistre les frappes au clavier et les informations du presse-papiers, qui sont ensuite envoyées aux attaquants.

Attaques de Kimsuky au Japon

Les informations collectées par le keylogger pourraient inclure des informations d’identification permettant aux acteurs de la menace de se propager davantage dans les systèmes et les applications de l’organisation.

Dernières attaques de Kimsuky
En mai 2024, l’ASEC a découvert que Kimsuky distribuait une souche de malware CHM en Corée. Le logiciel malveillant avait déjà été diffusé dans divers formats, notamment LINK, DOC et OneNote.

Le flux d’attaque implique l’exécution d’un fichier d’aide HTML compilé (CHM) qui affiche un écran d’aide tout en exécutant simultanément un script malveillant en arrière-plan.

Dernier flux d’attaque Kimsuky

Ce script crée et exécute un fichier dans le chemin du profil de l’utilisateur. Le fichier se connecte ensuite à une URL externe pour exécuter des scripts malveillants supplémentaires codés en Base64.

Ces scripts sont chargés d’exfiltrer les informations utilisateur, de créer et d’enregistrer un script malveillant en tant que service et d’effectuer un enregistrement de frappe.

Par rapport aux variantes précédentes, les derniers échantillons de logiciels malveillants observés par les analystes de l’ASEC utilisent un obscurcissement plus sophistiqué pour échapper à la détection.

Compte tenu de l’activité Kimsuky détectée au Japon, le CERT du pays souligne la nécessité pour les organisations d’être vigilantes face aux fichiers CHM pouvant contenir des scripts exécutables conçus pour diffuser des logiciels malveillants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *