Le groupe de piratage parrainé par l’État a été trouvé en train de surveiller les victimes et de collecter d’énormes quantités de données sensibles.
APT37, un groupe de piratage nord-coréen, a utilisé des logiciels malveillants hautement personnalisables pour lancer des attaques contre des personnes d’intérêt, notamment des militants des droits humains, des journalistes et des transfuges nord-coréens.
Le groupe, également connu sous le nom de ScarCruft et Reaper, utilise des campagnes de smishing (faux textes prétendant provenir d’entreprises réputées) et de spear-phishing (faux e-mails prétendant provenir d’un expéditeur de confiance) pour diffuser le malware, appelé Chinotto, sur Windows et Android. dispositifs.
Une équipe de Des chercheurs de Kaspersky ont découvert une récente campagne APT37. Le groupe de piratage a pu déployer des logiciels malveillants et ensuite prendre le contrôle des appareils compromis – et collecter des données utilisateur qui seraient finalement renvoyées aux serveurs appartenant aux pirates. APT37 était également censé surveiller les utilisateurs avec des captures d’écran et distribuer de nouvelles charges utiles.
APT37, ScarCruft, Reaper
APT37 est une menace tristement célèbre et internationale depuis 2012, et FireEye, une société américaine de cybersécurité, a lié avec confiance le groupe au gouvernement nord-coréen.
Attaques ciblées
Le groupe APT37 cible principalement les transfuges et les journalistes nord-coréens qui font des reportages sur le régime, bien que tout individu désigné comme une personne d’intérêt par le gouvernement nord-coréen puisse vraisemblablement être marqué pour surveillance.
Au cours de l’enquête de Kaspersky sur la récente attaque Chinotto, l’équipe a découvert que les pirates avaient installé une porte dérobée sur les appareils de la victime bien après leurs premières intrusions – et dans un cas, des pirates ont attendu jusqu’à six mois pour installer le malware Chinotto.
Une fois installé, le malware a permis aux pirates d’accéder à des données personnelles à partir d’appareils appartenant à des victimes qui ont, en outre, été soumises à des mois de surveillance. Le rapport de Kaspersky a confirmé que l’opérateur derrière l’attaque Chinotto a extrait des captures d’écran entre le 6 août et le 8 septembre 2021.
Étant donné la nature personnalisable du malware, les pirates APT37 peuvent créer des variantes personnalisées pour duper leurs victimes et échapper à la détection. Les chercheurs de Kaspersky ont même découvert des preuves de plusieurs charges utiles déployées sur le même appareil infecté.
Les informations sensibles obtenues lors des attaques ont été envoyées à des serveurs Web situés principalement en Corée du Sud. Chinotto est capable de collecter une quantité surprenante d’informations à partir d’appareils Windows et Android, notamment des messages texte, des journaux d’appels, des enregistrements audio et des coordonnées, qui peuvent ensuite être utilisées pour mener des campagnes de smishing.
APT37 est connu pour tirer parti des informations d’identification volées pour cibler de nouvelles victimes par SMS, e-mail et réseaux sociaux, et perpétuer un cycle de cybercriminalité dévastatrice.
Une menace émergente
Kaspersky a entrepris ses recherches sur la campagne APT37 en « apportant son soutien aux militants des droits humains et aux transfuges de Corée du Nord contre un acteur cherchant à les surveiller et à les suivre ». Malheureusement, des cas comme ceux-ci sont beaucoup trop répandu en Corée du Nord, et affectent souvent des individus sans moyens ni outils pour se défendre contre des cyberattaques insidieuses.
Jusqu’à récemment, APT37 a maintenu un profil plus bas que les autres groupes de piratage nord-coréens – dont le plus tristement célèbre est connu sous le nom de Lazarus. Lazarus a été responsable d’un certain nombre de braquages numériques agressifs au cours des dernières années, y compris un attaque contre Sony Pictures en 2014.
Cependant, alors qu’APT37 n’est actuellement pas aussi connu que Lazarus, il n’y a aucune raison de supposer que le groupe est moins qualifié ou ambitieux – en fait, depuis 2017, le groupe a ciblé une organisation japonaise liée à l’application des sanctions de l’ONU et une entreprise du Moyen-Orient impliquée dans un différend houleux avec le gouvernement nord-coréen.
Il est probable que, étant parrainé par le régime nord-coréen, le groupe de piratage pourrait être dirigé vers plusieurs objectifs spécifiques qui continueront d’évoluer avec les intérêts de l’État oppresseur.
