Les agences de renseignement américaines et sud-coréennes ont lancé une nouvelle alerte sur l’utilisation par les cyber-acteurs nord-coréens de tactiques d’ingénierie sociale pour frapper les groupes de réflexion, les universités et les secteurs des médias.
Les « efforts soutenus de collecte d’informations » ont été attribués à un cluster parrainé par l’État appelé Kimsukyégalement connu sous les noms APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), Nickel Kimball et Velvet Chollima.
« La Corée du Nord s’appuie fortement sur les renseignements tirés de ces campagnes de harponnage », ont déclaré les agences. a dit. « Les compromis réussis des individus ciblés permettent aux acteurs de Kimsuky de créer des e-mails de harponnage plus crédibles et efficaces qui peuvent être exploités contre des cibles sensibles et de grande valeur. »
Kimsuky fait référence à un élément auxiliaire au sein du Bureau général de reconnaissance (RGB) de la Corée du Nord et est connu pour collecter des renseignements tactiques sur les événements géopolitiques et les négociations affectant les intérêts du régime. Il est connu pour être actif depuis au moins 2012.
« Ces cyber-acteurs usurpent stratégiquement l’identité de sources légitimes pour collecter des renseignements sur les événements géopolitiques, les stratégies de politique étrangère et les développements en matière de sécurité intéressant la RPDC dans la péninsule coréenne », a déclaré Rob Joyce, directeur de la cybersécurité à la NSA.
Cela inclut des journalistes, des universitaires, des chercheurs de groupes de réflexion et des représentants du gouvernement, la ruse étant principalement conçue pour cibler les personnes travaillant sur des questions nord-coréennes telles que la politique étrangère et les experts politiques.
L’objectif des cyberprogrammes de Kimsuky, ont déclaré les responsables, est d’obtenir un accès illicite ainsi que de fournir des données volées et des informations géopolitiques précieuses au gouvernement nord-coréen.
Kimsuky a été observé en train d’exploiter des informations open source pour identifier des cibles potentielles d’intérêt et ensuite créer leurs personnages en ligne pour qu’ils paraissent plus légitimes en créant des adresses e-mail qui ressemblent aux adresses e-mail de personnes réelles qu’ils cherchent à se faire passer pour.
L’adoption d’identités usurpées est une tactique adoptée par d’autres groupes parrainés par l’État et est considérée comme un stratagème pour gagner la confiance et établir des relations avec les victimes. L’adversaire est également connu pour compromettre les comptes de messagerie des individus usurpés afin de concocter des messages électroniques convaincants.
« RPDC [Democratic People’s Republic of Korea] les acteurs utilisent souvent des domaines qui ressemblent à des services Internet et à des sites de médias courants pour tromper une cible », selon l’avis.
« Les acteurs de Kimsuky adaptent leurs thèmes aux intérêts de leur cible et mettront à jour leur contenu pour refléter les événements actuels discutés au sein de la communauté des observateurs de la Corée du Nord. »
En plus d’utiliser plusieurs personas pour communiquer avec une cible, les missives électroniques sont accompagnées de documents malveillants protégés par mot de passe, joints directement ou hébergés sur Google Drive ou Microsoft OneDrive.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Les fichiers de leurre, lorsqu’ils sont ouverts, incitent les destinataires à activer les macros, ce qui entraîne la fourniture d’un accès détourné aux appareils via des logiciels malveillants tels que bébérequin. De plus, l’accès persistant a été militarisé pour transférer automatiquement et furtivement tous les e-mails arrivant dans la boîte de réception d’une victime vers un compte de messagerie contrôlé par un acteur.
Le développement intervient des semaines après que la société de cybersécurité SentinelOne a détaillé l’utilisation par Kimsuky d’outils personnalisés tels que ReconShark (une version améliorée de BabyShark) et RandomQuery pour la reconnaissance et l’exfiltration d’informations.
Plus tôt en mars, les autorités gouvernementales allemandes et sud-coréennes ont tiré la sonnette d’alarme concernant les cyberattaques montées par Kimsuky qui impliquent l’utilisation d’extensions de navigateur malveillantes pour voler les boîtes de réception Gmail des utilisateurs.
L’alerte fait également suite aux sanctions imposées par le département du Trésor américain contre quatre entités et un individu impliqués dans des cyberactivités malveillantes et des programmes de collecte de fonds visant à soutenir les priorités stratégiques de la Corée du Nord.
