Le groupe d’États-nations nord-coréen Kimusky a été lié à un nouvel ensemble d’activités malveillantes dirigées contre des entités politiques et diplomatiques situées dans son homologue du sud au début de 2022.

La société russe de cybersécurité Kaspersky a nommé le cluster Dragon d’oravec les chaînes d’infection conduisant au déploiement de logiciels malveillants Windows conçus pour les listes de fichiers, les frappes de l’utilisateur et les identifiants de connexion du navigateur Web stockés.

Parmi les victimes potentielles figurent des professeurs d’université sud-coréens, des chercheurs de groupes de réflexion et des responsables gouvernementaux.

Kimsuky, également connu sous le nom de Black Banshee, Thallium et Velvet Chollima, est le nom donné à un groupe nord-coréen prolifique de menaces persistantes avancées (APT) qui cible des entités dans le monde entier, mais avec un accent principal sur la Corée du Sud, pour obtenir des renseignements sur divers sujets. intéressant le régime.

Connu pour fonctionner depuis 2012, le groupe a l’habitude d’employer des tactiques d’ingénierie sociale, de harponnage et d’attaques de points d’eau pour exfiltrer les informations souhaitées des victimes.

À la fin du mois dernier, la société de cybersécurité Volexity a attribué l’acteur à une mission de collecte de renseignements conçue pour siphonner le contenu des e-mails de Gmail et AOL via une extension de navigateur Chrome malveillante appelée Sharpext.

La dernière campagne suit un modus operandi similaire dans lequel la séquence d’attaque est lancée via des messages de harponnage contenant des documents Microsoft Word intégrés à la macro qui présentent prétendument du contenu lié aux problèmes géopolitiques de la région.

On dit également que les routes d’accès initiales alternatives tirent parti des fichiers d’application HTML (HTA) et d’aide HTML compilée (CHM) comme leurres pour compromettre le système.

Quelle que soit la méthode utilisée, l’accès initial est suivi de la suppression d’un script Visual Basic à partir d’un serveur distant orchestré pour identifier la machine et récupérer des charges utiles supplémentaires, y compris un exécutable capable d’exfiltrer des informations sensibles.

La nouveauté de l’attaque est la transmission de l’adresse e-mail de la victime au serveur de commande et de contrôle (C2) si le destinataire clique sur un lien dans l’e-mail pour télécharger des documents supplémentaires. Si la demande ne contient pas d’adresse e-mail attendue, un document bénin est renvoyé.

Pour compliquer davantage la chaîne de mise à mort, le serveur C2 de première étape transmet l’adresse IP de la victime à un autre serveur VBS, qui la compare ensuite à une demande entrante générée après que la cible a ouvert le document leurre.

La « méthodologie de vérification des victimes » dans les deux serveurs C2 garantit que le VBScript n’est livré que lorsque les vérifications de l’adresse IP sont réussies, ce qui indique une approche hautement ciblée.

« Le groupe Kimsuky fait évoluer en permanence ses schémas d’infection par des logiciels malveillants et adopte de nouvelles techniques pour entraver l’analyse », a déclaré Seongsu Park, chercheur chez Kaspersky. « La principale difficulté dans le suivi de ce groupe est qu’il est difficile d’acquérir une chaîne d’infection complète. »