Nord Coréen

Un « groupe d’activités d’État-nation hautement opérationnel, destructeur et sophistiqué » ayant des liens avec la Corée du Nord a militarisé les logiciels open source dans ses campagnes d’ingénierie sociale destinées aux entreprises du monde entier depuis juin 2022.

Les équipes de renseignement sur les menaces de Microsoft, aux côtés de LinkedIn Threat Prevention and Defense, ont attribué les intrusions avec une grande confiance à Zincqui est également suivi sous les noms de Labyrinth Chollima.

Les attaques visaient des employés d’organisations de plusieurs secteurs, notamment les médias, la défense et l’aérospatiale, ainsi que les services informatiques aux États-Unis, au Royaume-Uni, en Inde et en Russie.

La Cyber-Sécurité

Le géant de la technologie a dit il a observé que Zinc utilisait « une large gamme de logiciels open source, notamment PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le programme d’installation de logiciels muPDF/Subliminal Recording pour ces attaques ».

Selon FouleStrikeZinc « est actif depuis 2009 dans des opérations visant à collecter des renseignements politiques, militaires et économiques sur les adversaires étrangers de la Corée du Nord et à mener des campagnes de génération de devises ».

Publicité

Les dernières découvertes concordent avec un rapport récent de Mandiant, propriété de Google, qui a révélé l’utilisation de PuTTY par l’adversaire via des leurres d’emploi frauduleux partagés avec des cibles potentielles sur LinkedIn dans le cadre d’une campagne baptisée Operation Dream Job.

Dll

Cela implique d’établir des liens initiaux avec des individus en se faisant passer pour des professionnels du recrutement dans le cadre d’un exercice de renforcement de la confiance, avant de déplacer la conversation vers WhatsApp, où un document leurre personnalisé ou un logiciel apparemment bénin est partagé, activant efficacement la séquence d’infection.

Une compromission réussie est suivie par l’acteur de la menace se déplaçant latéralement sur le réseau et exfiltrant les informations d’intérêt collectées en déployant une porte dérobée appelée ZetaNile (alias BLINDINGCAN OU AIRDRY).

La Cyber-Sécurité

Mais dans le but d’échapper aux défenses de sécurité et d’éviter de déclencher des drapeaux rouges, l’implant n’est téléchargé que lorsque la victime utilise les clients SSH pour se connecter à une adresse IP particulière via les informations d’identification spécifiées dans un fichier texte séparé.

De même, les attaques utilisant la version cheval de Troie de TightVNC Viewer sont configurées pour installer la porte dérobée uniquement lorsque l’utilisateur sélectionne un hôte distant particulier parmi les options fournies.

« Les attaques au zinc semblent être motivées par le cyberespionnage traditionnel, le vol de données personnelles et d’entreprise, le gain financier et la destruction du réseau d’entreprise », a déclaré la société.

« Les attaques au zinc portent de nombreuses caractéristiques d’activités parrainées par l’État, telles qu’une sécurité opérationnelle accrue, des logiciels malveillants sophistiqués qui évoluent avec le temps et un ciblage à motivation politique. »


Rate this post
Publicité
Article précédentVous avez vraiment besoin de sauvegarder votre iPhone – Voici pourquoi
Article suivantDéballage et aperçu Intel Arc A750 et A770
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici