Microsoft prévient que le groupe de hackers nord-coréen BlueNoroff met en place une nouvelle infrastructure d’attaque pour les prochaines campagnes d’ingénierie sociale sur LinkedIn.

Ce groupe de menaces à motivation financière (suivi par Redmond sous le nom de Sapphire Sleet) a également un historique documenté d’attaques de vol de cryptomonnaie ciblant les employés des sociétés de cryptomonnaie.

Après avoir choisi leurs cibles suite à un premier contact sur LinkedIn, les pirates de BlueNoroff détournent leurs systèmes en déployant des malwares cachés dans des documents malveillants diffusés via des messages privés sur différents réseaux sociaux.

« L’acteur malveillant que Microsoft suit sous le nom de Sapphire Sleet, connu pour le vol de crypto-monnaie via l’ingénierie sociale, a créé ces dernières semaines de nouveaux sites Web se faisant passer pour des portails d’évaluation des compétences, marquant un changement dans les tactiques de l’acteur persistant. » selon les experts en sécurité de Microsoft Thrat Intelligence.

« Sapphire Sleet trouve généralement des cibles sur des plateformes comme LinkedIn et utilise des leurres liés à l’évaluation des compétences. L’acteur menaçant déplace ensuite les communications réussies avec ses cibles vers d’autres plateformes. »

Auparavant, les pirates informatiques nord-coréens distribuaient directement des pièces jointes malveillantes ou utilisaient des liens vers des pages hébergées sur des sites Web légitimes comme GitHub.

Cependant, Microsoft estime que la détection et la suppression rapides des fichiers malveillants des attaquants des services en ligne légitimes ont incité les pirates de BlueNoroff à créer leurs propres sites Web capables d’héberger des charges utiles malveillantes.

Ces sites Web sont protégés par mot de passe pour contrecarrer les efforts d’analyse et sont camouflés en portails d’évaluation des compétences, incitant les recruteurs à créer un compte.

Qui est BlueNoroff ?

Plus tôt cette semaine, les chercheurs en sécurité de Jamf Threat Labs ont lié BlueNoroff au nouveau malware macOS ObjCShellz utilisé pour pirater des Mac ciblés en ouvrant des shells distants sur des appareils compromis.

Ces dernières années, Kaspersky a associé BlueNoroff à une série d’attaques contre des startups de crypto-monnaie et des organisations financières dans le monde entier, notamment aux États-Unis, en Russie, en Chine, en Inde, au Royaume-Uni, en Ukraine, en Pologne, en République tchèque, aux Émirats arabes unis, à Singapour, en Estonie, au Vietnam et à Malte. , l’Allemagne et Hong Kong.

De plus, le FBI a attribué le plus grand piratage cryptographique de l’histoire – la violation du pont réseau Ronin d’Axie Infinity – aux groupes de piratage Lazarus et BlueNoroff. Les attaquants ont volé 173 600 Ethereum et 25,5 millions de jetons USDC, pour un montant de plus de 617 millions de dollars.

Il y a quatre ans, un Rapport des Nations Unies On estime que les pirates informatiques nord-coréens, dont BlueNoroff, ont déjà volé environ 2 milliards de dollars lors d’au moins 35 cyberattaques ciblant des banques et des bourses de crypto-monnaie dans plus d’une douzaine de pays.

En 2019, le Trésor américain a également sanctionné BlueNoroff et deux autres groupes de hackers nord-coréens (Lazarus Group et Andariel) pour avoir canalisé des actifs financiers volés vers le gouvernement nord-coréen.