Le groupe de piratage nord-coréen Kimsuky a été observé en train d’utiliser une nouvelle version de son logiciel malveillant de reconnaissance, désormais appelé « ReconShark », dans une campagne de cyberespionnage de portée mondiale.
Sentinel Labs rapporte que l’acteur de la menace a élargi sa portée de ciblage, ciblant désormais les organisations gouvernementales, les centres de recherche, les universités et les groupes de réflexion aux États-Unis, en Europe et en Asie.
En mars 2023, les autorités sud-coréennes et allemandes ont averti que Kimsuky, également connu sous le nom de Thallium et Velvet Chollima, avait commencé à diffuser des extensions Chrome malveillantes ciblant les comptes Gmail et un logiciel espion Android qui servait de cheval de Troie d’accès à distance.
Auparavant, en août 2022, Kaspersky avait révélé une autre campagne Kimsuky ciblant des politiciens, des diplomates, des professeurs d’université et des journalistes en Corée du Sud en utilisant un schéma de validation de cible en plusieurs étapes qui garantissait que seules des cibles valides seraient infectées par des charges utiles malveillantes.
Une attaque par phishing
Kimsuky utilise des e-mails de harponnage bien conçus et personnalisés pour infecter ses cibles avec le malware ReconShark, une tactique vue dans toutes les campagnes précédentes du groupe de menaces.
Ces e-mails contiennent un lien vers un document malveillant protégé par un mot de passe hébergé sur Microsoft OneDrive afin de minimiser les risques de déclenchement d’alarmes sur les outils de sécurité des e-mails.
Lorsque la cible ouvre le document téléchargé et active les macros comme indiqué, le logiciel malveillant ReconShark intégré est activé.
Après que Microsoft a désactivé les macros par défaut sur les documents Office téléchargés, la plupart des pirates sont passés à de nouveaux types de fichiers pour les attaques de phishing, tels que les fichiers ISO et, plus récemment, les documents OneNote.
« Les attaquants recherchent probablement des victoires faciles contre des versions obsolètes d’Office ou simplement des utilisateurs activant des macros », a déclaré Tom Hegel, chercheur principal sur les menaces chez SentinelLabs, à Breachtrace.
« Kimsuky n’est pas trop innovant ici, d’autant plus qu’ils font encore évoluer la famille de malwares BabyShark. »
ReconRequin
ReconShark est considéré par les analystes de Sentinel Labs comme une évolution du malware « BabyShark » de Kimsuky, qui a également été déployé par APT43, un groupe de cyberespionnage nord-coréen ciblant les organisations américaines.
ReconShark abuse de WMI pour collecter des informations sur le système infecté, comme les processus en cours d’exécution, les données de la batterie, etc.
Il vérifie également si le logiciel de sécurité s’exécute sur la machine, Sentinel Labs mentionnant des vérifications spécifiques pour les produits Kaspersky, Malwarebytes, Trend Micro et Norton Security.
L’exfiltration des données de reconnaissance est directe, le malware envoyant tout au serveur C2 via des requêtes HTTP POST sans rien stocker localement.
« La capacité de ReconShark à exfiltrer des informations précieuses, telles que les mécanismes de détection déployés et les informations sur le matériel, indique que ReconShark fait partie d’une opération de reconnaissance orchestrée par Kimsuky qui permet des attaques de précision ultérieures, impliquant éventuellement des logiciels malveillants spécialement conçus pour échapper aux défenses et exploiter les faiblesses de la plate-forme, » a prévenu SentinelOne.
Une autre capacité de ReconShark est de récupérer des charges utiles supplémentaires à partir du C2, ce qui peut donner à Kimsuky une meilleure emprise sur le système infecté.
« En plus d’exfiltrer des informations, ReconShark déploie d’autres charges utiles en plusieurs étapes qui sont implémentées sous forme de scripts (VBS, HTA et Windows Batch), de modèles Microsoft Office prenant en charge les macros ou de fichiers DLL Windows », lit-on dans le rapport Sentinel Labs. .
« ReconShark décide des charges utiles à déployer en fonction des processus de mécanisme de détection exécutés sur les machines infectées. »
L’étape de déploiement de la charge utile consiste à modifier les fichiers de raccourci Windows (LNK) associés à des applications populaires telles que Chrome, Outlook, Firefox ou Edge pour exécuter le logiciel malveillant lorsque l’utilisateur lance l’une de ces applications.
Une autre méthode consiste à remplacer le modèle Microsoft Office par défaut, Normal.dotm, par une version malveillante hébergée sur le serveur C2 pour charger du code malveillant chaque fois que l’utilisateur lance Microsoft Word.
Les deux techniques offrent un moyen furtif de s’infiltrer plus profondément dans le système ciblé, de maintenir la persistance et d’exécuter des charges utiles ou des commandes supplémentaires dans le cadre de l’attaque en plusieurs étapes de l’acteur menaçant.
Le niveau de sophistication et les tactiques de changement de forme de Kimsuky brouillent la ligne qui sépare ses opérations des autres groupes nord-coréens qui mènent des campagnes plus larges et appellent une vigilance accrue.