Un groupe d’espionnage nord-coréen suivi sous le numéro UNC2970 a été observé en train d’employer des familles de logiciels malveillants auparavant non documentés dans le cadre d’une campagne de harponnage ciblant les médias et les organisations technologiques américaines et européennes depuis juin 2022.

Mandiant, propriété de Google, a déclaré que le cluster de menaces partageait « de multiples chevauchements » avec une opération de longue durée appelée « Dream Job » qui utilise des leurres de recrutement d’emplois dans les messages électroniques pour déclencher la séquence d’infection.

UNC2970 est le nouveau surnom désigné par la société de renseignement sur les menaces pour un ensemble d’activités cybernétiques nord-coréennes qui correspondent à UNC577 (alias Temp.Hermit), et qui comprend également un autre cluster de menaces naissant suivi comme UNC4034.

L’activité UNC4034, telle que documentée par Mandiant en septembre 2022, impliquait l’utilisation de WhatsApp pour ingénierie sociale des cibles en téléchargeant une porte dérobée appelée AIRDRY.V2 sous prétexte de partager un test d’évaluation des compétences.

« UNC2970 a un effort concerté vers l’obscurcissement et utilise plusieurs méthodes pour le faire tout au long de la chaîne de livraison et d’exécution », ont déclaré les chercheurs de Mandiant dans une analyse détaillée en deux parties, ajoutant que l’effort ciblait spécifiquement les chercheurs en sécurité.

Temp.Hermit est l’une des principales unités de piratage associées au Bureau général de reconnaissance (RGB) de la Corée du Nord aux côtés d’Andariel et d’APT38 (alias BlueNoroff). Les trois ensembles d’acteurs sont collectivement appelés le groupe Lazarus (alias Hidden Cobra ou Zinc).

« TEMP.Hermit est un acteur qui existe depuis au moins 2013 », a noté Mandiant dans un rapport de mars 2022. « Leurs opérations depuis lors sont représentatives des efforts de Pyongyang pour collecter des renseignements stratégiques au profit des intérêts nord-coréens. »

La dernière série d’attaques UNC2970 se caractérise par l’approche initiale des utilisateurs directement sur LinkedIn en utilisant de faux comptes « bien conçus et organisés par des professionnels » se faisant passer pour des recruteurs.

La conversation est ensuite transférée vers WhatsApp, après quoi une charge utile de phishing est livrée à la cible sous le couvert d’une description de poste.

Dans certains cas, il a été observé que ces chaînes d’attaques déployaient des versions trojanisées de TightVNC (nommées LIDSHIFT), conçues pour charger une charge utile de la prochaine étape appelée LIDSHOT, capable de télécharger et d’exécuter du shellcode à partir d’un serveur distant.

L’établissement d’un pied dans des environnements compromis est réalisé au moyen d’une porte dérobée basée sur C++ connue sous le nom de PLANKWALK qui ouvre ensuite la voie à la distribution d’outils supplémentaires tels que –

  • TOUCHSHIFT – Un dropper de logiciels malveillants qui charge des logiciels malveillants de suivi allant des enregistreurs de frappe et des utilitaires de capture d’écran aux portes dérobées complètes
  • TOUCHSHOT – Un logiciel configuré pour prendre une capture d’écran toutes les trois secondes
  • TOUCHKEY – Un enregistreur de frappe qui capture les frappes et les données du presse-papiers
  • HOOKSHOT – Un outil de tunnellisation qui se connecte via TCP pour communiquer avec le serveur de commande et de contrôle (C2)
  • TOUCHMOVE – Un chargeur conçu pour déchiffrer et exécuter une charge utile sur la machine
  • SIDESHOW – Une porte dérobée C/C++ qui exécute des commandes arbitraires et communique via des requêtes HTTP POST avec son serveur C2

UNC2970 aurait également exploité Microsoft Intune, une solution de gestion des terminaux, pour supprimer un script PowerShell sur mesure contenant une charge utile encodée en Base64 appelée CLOUDBURST, une porte dérobée basée sur C qui communique via HTTP.

Dans ce qui est une utilisation continue de la technique Bring Your Own Vulnerable Driver (BYOVD) par des acteurs alignés sur la Corée du Nord, les intrusions utilisent en outre un compte-gouttes en mémoire uniquement appelé LIGHTSHIFT qui facilite la distribution d’un autre logiciel malveillant nommé LIGHTSHOW.

L’utilitaire, en plus de prendre des mesures pour entraver l’analyse dynamique et statique, dépose une version légitime d’un pilote avec des vulnérabilités connues pour effectuer des opérations de lecture et d’écriture dans la mémoire du noyau et finalement désarmer le logiciel de sécurité installé sur l’hôte infecté.

« Les outils malveillants identifiés mettent en évidence le développement continu de logiciels malveillants et le déploiement de nouveaux outils par UNC2970 », a déclaré Mandiant. « Bien que le groupe ait précédemment ciblé les industries de la défense, des médias et de la technologie, le ciblage des chercheurs en sécurité suggère un changement de stratégie ou une expansion de ses opérations. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *