Le groupe de piratage nord-coréen connu sous le nom de Kimsuky a été observé lors d’attaques récentes utilisant un wrapper RDP personnalisé et des outils proxy pour accéder directement aux machines infectées.
C’est un signe de changement de tactique pour Kimsuky, selon le Centre de renseignement de sécurité AhnLab (ASEC), qui a découvert la campagne.
ASSOC affirme que les pirates nord-coréens utilisent désormais un ensemble diversifié d’outils d’accès à distance personnalisés au lieu de s’appuyer uniquement sur des portes dérobées bruyantes comme PebbleDash, qui est toujours utilisé.
La dernière chaîne d’attaques de Kimsuky
La dernière chaîne d’infection commence par un e-mail de spear-phishing contenant un raccourci malveillant (.LNK) pièce jointe déguisée en document PDF ou Word.
Les courriels contiennent le nom du destinataire et les noms corrects de l’entreprise, suggérant que Kimsuky a effectué une reconnaissance avant l’attaque.
Ouverture du .Le fichier LNK déclenche PowerShell ou Mshta pour récupérer des charges utiles supplémentaires à partir d’un serveur externe, notamment:
- PebbleDash, une porte dérobée Kimsuky connue fournissant un contrôle initial du système.
- Une version modifiée de l’outil Wrapper RDP open source, permettant un accès RDP persistant et un contournement des mesures de sécurité.
- Outils proxy pour contourner les restrictions du réseau privé, permettant aux attaquants d’accéder au système même lorsque les connexions RDP directes sont bloquées.
Wrapper RDP Personnalisé
RDP Wrapper est un outil open source légitime conçu pour activer la fonctionnalité RDP (Remote Desktop Protocol) sur les versions de Windows qui ne la prennent pas en charge de manière native, comme Windows Home.
Il agit comme une couche intermédiaire, permettant aux utilisateurs d’activer les connexions de bureau à distance sans modifier les fichiers système.
La version Kimsuky a modifié les fonctions d’exportation pour contourner la détection antivirus et différencie probablement suffisamment son comportement pour échapper à la détection basée sur les signatures.
Le principal avantage de l’utilisation d’un wrapper RDP personnalisé est l’évasion de détection, car les connexions RDP sont souvent traitées comme légitimes, ce qui permet à Kimsuky de rester sous le radar plus longtemps.
De plus, il offre un contrôle à distance basé sur une interface graphique plus confortable, comparé à l’accès shell via un logiciel malveillant, et peut contourner les pare-feu ou les restrictions NAT via des relais, permettant un accès RDP de l’extérieur.
L’ASEC rapporte qu’une fois que Kimsuky a pris pied sur le réseau, ils abandonnent les charges utiles secondaires.
Il s’agit notamment d’un enregistreur de frappe qui capture les frappes au clavier et les stocke dans des fichiers texte dans des répertoires système, d’un infostealer (forceCopy) qui extrait les informations d’identification enregistrées sur les navigateurs Web et d’un ReflectiveLoader basé sur PowerShell qui permet l’exécution de la charge utile en mémoire.
Dans l’ensemble, Kimsuky est une menace persistante et en évolution et l’un des groupes de menaces de cyberespionnage les plus prolifiques de Corée du Nord consacrés à la collecte de renseignements.
Les dernières découvertes de l’ASEC indiquent que les auteurs de menaces passent à des méthodes d’accès à distance plus furtives pour des temps de séjour prolongés dans des réseaux compromis.