22 mars 2023Ravie LakshmananRenseignements sur les cybermenaces

Techniques De Distribution De Logiciels Malveillants

L’acteur nord-coréen de la menace persistante avancée (APT) surnommé ScarCruft utilise des fichiers Microsoft Compiled HTML Help (CHM) militarisés pour télécharger des logiciels malveillants supplémentaires.

Selon plusieurs rapports de Centre d’intervention d’urgence de sécurité AhnLab (UNE SECONDE), SEKOIA.IOet Échelle Zle développement illustre les efforts continus du groupe pour affiner et réorganiser ses tactiques afin d’éviter la détection.

« Le groupe fait constamment évoluer ses outils, ses techniques et ses procédures tout en expérimentant de nouveaux formats de fichiers et de nouvelles méthodes pour contourner les fournisseurs de sécurité », ont déclaré les chercheurs de Zscaler Sudeep Singh et Naveen Selvan dans une nouvelle analyse publiée mardi.

ScarCruft, également suivi sous les noms APT37, Reaper, RedEyes et Ricochet Chollima, a affiché un rythme opérationnel accru depuis le début de l’année, ciblant diverses entités sud-coréennes à des fins d’espionnage. Il est connu pour être actif depuis au moins 2012.

Publicité

Le mois dernier, l’ASEC a dévoilé une campagne qui utilisait des fichiers HWP qui profitaient d’une faille de sécurité dans le logiciel de traitement de texte Hangul pour déployer une porte dérobée appelée M2RAT.

Mais de nouvelles découvertes révèlent que l’auteur de la menace utilise également d’autres formats de fichiers tels que CHM, HTA, LNK, XLL et des documents Microsoft Office basés sur des macros dans ses attaques de harponnage contre des cibles sud-coréennes.

Techniques De Distribution De Logiciels Malveillants

Ces chaînes d’infection servent souvent à afficher un fichier leurre et à déployer une version mise à jour d’un implant basé sur PowerShell connu sous le nom de Chinotto, capable d’exécuter des commandes envoyées par un serveur et d’exfiltrer des données sensibles.

Certaines des nouvelles fonctionnalités de Chinotto incluent la capture d’écran toutes les cinq secondes et l’enregistrement des frappes au clavier. Les informations capturées sont enregistrées dans une archive ZIP et envoyées à un serveur distant.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.

RÉSERVEZ VOTRE PLACE

Les informations sur les différents vecteurs d’attaque de ScarCruft proviennent d’un référentiel GitHub maintenu par le collectif contradictoire pour héberger des charges utiles malveillantes depuis octobre 2020.

« L’acteur de la menace a pu maintenir un référentiel GitHub, mettant fréquemment en scène des charges utiles malveillantes pendant plus de deux ans sans être détecté ou supprimé », ont déclaré les chercheurs de Zscaler.

En dehors de la distribution de logiciels malveillants, ScarCruft a également été observé en train de diffuser des pages Web de phishing d’informations d’identification ciblant plusieurs services de messagerie et de cloud tels que Naver, iCloud, Kakao, Mail.ru et 163.com.

Techniques De Distribution De Logiciels Malveillants

Il n’est cependant pas clair comment ces pages sont consultées par les victimes, ce qui soulève la possibilité qu’elles aient été intégrées dans des iframes sur des sites Web contrôlés par l’attaquant ou envoyées sous forme de pièces jointes HTML par e-mail.

SEKOIA.IO a également découvert un logiciel malveillant nommé AblyGo, une porte dérobée écrite en Go qui utilise le Habilement cadre de messagerie en temps réel pour recevoir des commandes.

L’utilisation de fichiers CHM pour la contrebande de logiciels malveillants semble également se répandre auprès d’autres groupes affiliés à la Corée du Nord, avec l’ASEC découvrir une campagne de phishing orchestrée par Kimsuky pour distribuer une porte dérobée chargée de récolter les données du presse-papiers et d’enregistrer les frappes au clavier.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentUne détection fiable du texte généré par l’IA est impossible, selon une nouvelle étude
Article suivantTest de la centrale électrique portable EBL 500
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici