Kimsuky APT

Un acteur nord-coréen actif depuis 2012 est à l’origine d’une nouvelle campagne d’espionnage ciblant des hauts responsables gouvernementaux associés à son homologue du sud pour installer une porte dérobée Android et Windows pour collecter des informations sensibles.

La société de cybersécurité Malwarebytes attribué l’activité à un acteur menaçant identifié comme Kimsuky, avec les entités ciblées comprenant l’Agence coréenne pour l’Internet et la sécurité (KISA), le ministère des Affaires étrangères, l’ambassadeur de l’ambassade du Sri Lanka auprès de l’État, l’Agence internationale de l’énergie atomique (AIEA) Agent de sécurité, consul général adjoint au consulat général de Corée à Hong Kong, à l’Université nationale de Séoul et à Daishin Securities.

vérificateur de mots de passe

Ce développement n’est que le dernier d’une série d’efforts de surveillance visant la Corée du Sud. Considéré comme agissant au nom du régime nord-coréen, Kimsuky (alias Velvet Chollima, Black Banshee et Thallium) a l’habitude de distinguer des entités sud-coréennes tout en étendant leur victimologie aux États-Unis, à la Russie et à divers pays d’Europe.

En novembre dernier, l’adversaire était lié à une nouvelle suite de logiciels espions modulaire appelée “KGH_SPY”, qui lui permet d’effectuer une reconnaissance des réseaux cibles, d’enregistrer les frappes au clavier et de voler des informations confidentielles, ainsi qu’un logiciel malveillant furtif sous le nom de “CSPY Downloader”. qui est conçu pour contrecarrer l’analyse et télécharger des charges utiles supplémentaires.

L’infrastructure d’attaque de Kimsuky se compose de divers sites Web de phishing qui imitent des sites Web bien connus tels que Gmail, Microsoft Outlook et Telegram dans le but d’inciter les victimes à saisir leurs informations d’identification. “C’est l’une des principales méthodes utilisées par cet acteur pour collecter des adresses e-mail qui seront ensuite utilisées pour envoyer des e-mails de spear-phishing”, a déclaré Hossein Jazi, chercheur chez Malwarebytes.

En utilisant l’ingénierie sociale comme composant central de ses opérations, l’objectif est de distribuer un compte-gouttes de malware qui prend la forme d’un fichier d’archive ZIP joint aux e-mails, ce qui conduit finalement au déploiement d’une charge utile DLL codée appelée Graine De Pomme, une porte dérobée utilisée par Kimusky dès 2019.

“En plus d’utiliser la porte dérobée AppleSeed pour cibler les utilisateurs Windows, l’acteur a également utilisé une porte dérobée Android pour cibler les utilisateurs Android”, a noté Jazi. « La porte dérobée Android peut être considérée comme la variante mobile de la porte dérobée AppleSeed. Elle utilise les mêmes modèles de commande que celle de Windows. De plus, les portes dérobées Android et Windows ont utilisé la même infrastructure. »

AppleSeed a toutes les caractéristiques d’une porte dérobée typique, avec une myriade de capacités pour enregistrer des frappes, capturer des captures d’écran, collecter des documents avec des extensions spécifiques (.txt, .ppt, .hwp, .pdf et .doc) et collecter des données à partir de périphériques de support amovibles connectés à la machine, qui sont ensuite tous téléchargés sur un serveur de commande et de contrôle distant.

Mais peut-être la découverte la plus intéressante de toutes est que l’acteur de la menace s’appelle Thallium dans le code source du malware, qui est le surnom attribué par Microsoft sur la base de sa tradition de nommer les groupes de piratage des États-nations d’après des éléments chimiques.



Leave a Reply