05 mai 2023Ravie LakshmananCybermenace/malware

Hackers Kimsuky Nord-Coréens

L’acteur de menace parrainé par l’État nord-coréen connu sous le nom de Kimsuky a été découvert à l’aide d’un nouvel outil de reconnaissance appelé ReconRequin dans le cadre d’une campagne mondiale en cours.

« [ReconShark] est activement distribué à des personnes spécifiquement ciblées par le biais d’e-mails de harponnage, de liens OneDrive menant au téléchargement de documents et à l’exécution de macros malveillantes », ont déclaré les chercheurs de SentinelOne, Tom Hegel et Aleksandar Milenkoski. a dit.

Kimsuky est également connu sous les noms APT43, ARCHIPELAGO, Black Banshee, Nickel Kimball, Emerald Sleet (anciennement Thallium) et Velvet Chollima.

Actif depuis au moins 2012, le prolifique L’acteur menaçant a été lié à des attaques ciblées contre des organisations non gouvernementales (ONG), des groupes de réflexion, des agences diplomatiques, des organisations militaires, des groupes économiques et des entités de recherche en Amérique du Nord, en Asie et en Europe.

Publicité
La Cyber-Sécurité

Le dernier ensemble d’intrusions documenté par SentinelOne exploite des thèmes géopolitiques liés à la prolifération nucléaire de la Corée du Nord pour activer la séquence d’infection.

« Notamment, les e-mails de harponnage sont créés avec un niveau de qualité de conception adapté à des individus spécifiques, augmentant la probabilité d’ouverture par la cible », ont déclaré les chercheurs. « Cela inclut un formatage, une grammaire et des indices visuels appropriés, apparaissant légitimes pour les utilisateurs sans méfiance. »

Reconrequin

Ces messages contiennent des liens vers des documents Microsoft Word piégés hébergés sur OneDrive pour déployer ReconShark, qui fonctionne principalement comme un outil de reconnaissance pour exécuter des instructions envoyées depuis un serveur contrôlé par un acteur. Il s’agit également d’une évolution de l’ensemble d’outils malveillants BabyShark de l’acteur malveillant.

« Il exfiltre les informations système vers le serveur C2, maintient la persistance sur le système et attend d’autres instructions de l’opérateur », Palo Alto Networks Unit 42 a dit dans son analyse de BabyShark en février 2019.

WEBINAIRE À VENIR

Apprenez à arrêter les ransomwares avec une protection en temps réel

Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.

Sauvez ma place !

ReconShark est spécialement conçu pour exfiltrer des détails sur les processus en cours d’exécution, les mécanismes de détection déployés et les informations sur le matériel, ce qui suggère que les données recueillies à partir de l’outil sont utilisées pour mener des « attaques de précision » impliquant des logiciels malveillants adaptés à l’environnement ciblé d’une manière qui évite la détection.

Le logiciel malveillant est également capable de déployer des charges utiles supplémentaires à partir du serveur en fonction de « quels processus de mécanisme de détection s’exécutent sur les machines infectées ».

Les résultats s’ajoutent aux preuves croissantes que l’acteur de la menace modifie activement ses tactiques pour prendre pied sur les hôtes compromis, établir la persistance et recueillir furtivement des renseignements pendant de longues périodes.

« Les attaques en cours de Kimsuky et leur utilisation du nouvel outil de reconnaissance, ReconShark, mettent en évidence la nature évolutive du paysage des menaces nord-coréennes », a déclaré SentinelOne.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.8/5 - (30 votes)
Publicité
Article précédentUne pop star a tenté de réconcilier la Russie et l’Ukraine. La guerre a ruiné ça
Article suivantRumeur : le boss final a été révélé dans Avengers : Secret Wars
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici