Un acteur de menace nord-coréen parrainé par l’État et suivi comme TA406 a récemment été observé en train de déployer un logiciel malveillant personnalisé de vol d’informations dans des campagnes d’espionnage.
L’acteur en particulier est attribué à l’un des nombreux groupes connus sous le nom de Kimsuky (alias Thallium). TA406 a laissé des traces d’une activité à faible volume depuis 2018, principalement axée sur l’espionnage, les escroqueries à but lucratif et l’extorsion.
Cependant, en mars et juin 2021, TA406 a lancé deux campagnes distinctes de diffusion de logiciels malveillants ciblant des experts en politique étrangère, des journalistes et des membres d’ONG (organisations non gouvernementales).
Dans un nouveau rapport, les chercheurs de Proofpoint ont suivi le TA406, échantillonné leurs outils et découvert les services dont ils abusent et les leurres de phishing qu’ils utilisent.
Une opération large mais ciblée
TA406 se livre à la distribution de logiciels malveillants, au phishing, à la collecte de renseignements et au vol de crypto-monnaie, entraînant un large éventail d’activités criminelles.
Selon le rapport de Proofpoint, les acteurs travaillent environ de 9 h à 17 h (KST), sept jours sur sept, en piratant leur occupation à temps plein.
La portée du ciblage est assez large, comprenant l’Amérique du Nord, la Russie, la Chine, la Corée du Sud, le Japon, l’Allemagne, la France, le Royaume-Uni, l’Afrique du Sud, l’Inde, etc.
Source : preuve
Les e-mails de phishing envoyés par TA406 utilisent couramment des leurres sur la sécurité nucléaire, la politique et la politique étrangère coréenne, tout en ciblant des élus de haut rang.
« Les destinataires de cette campagne comprenaient certains des plus hauts responsables élus de plusieurs institutions gouvernementales différentes, un employé d’un cabinet de conseil, des institutions gouvernementales liées à la défense, à l’application de la loi, à l’économie et aux finances, et des boîtes aux lettres génériques pour les relations avec le conseil d’administration et la clientèle de une grande institution financière », explique Rapport de Proofpoint.
Les e-mails sont envoyés à partir de sites Web compromis, et l’expéditeur se fait généralement passer pour de vraies personnes au lieu de créer de fausses personnalités.
Les exemples incluent un rédacteur en chef à Global Asia, un professeur à l’Université Yonsei et un conseiller du président Moon Jae-in.
Source : preuve
D’un intérêt particulier, lors de la conduite de campagnes de phishing pour récolter des informations d’identification, TA406 ne crée généralement pas de pages de destination élaborées pour se faire passer pour un serveur bien connu. Au lieu de cela, ils utilisent l’authentification HTTP de base, qui affiche une boîte de dialogue de navigateur demandant les informations d’identification de l’utilisateur.
Source : preuve
Les leurres sont généralement des fichiers PDF qui nécessitent que le destinataire se connecte à la plate-forme d’hébergement en utilisant ses informations d’identification personnelles ou d’entreprise pour les afficher.
Logiciel malveillant de vol d’informations personnalisé
À partir de janvier 2021, TA406 a commencé à supprimer des charges utiles de logiciels malveillants via des e-mails de phishing menant à des archives 7z. Ces archives contenaient un fichier EXE avec une double extension pour apparaître sous forme de fichier .HTML.
S’il était ouvert, le fichier créerait une tâche planifiée nommée « Alarme Twitter », qui permet aux acteurs de supprimer des charges utiles supplémentaires toutes les 15 minutes.
Lors de l’exécution, l’EXE ouvre également un navigateur Web sur un fichier PDF d’un article légitime de NK News hébergé sur l’infrastructure de l’acteur, tentant de faire croire à la victime qu’elle lit un article sur un site d’actualités.
En juin 2021, TA406 a commencé à déployer un logiciel malveillant personnalisé nommé « FatBoy », qui a été déposé en tant que pièce jointe HTML sur le disque de la victime.
Source : preuve
Chacune de ces pièces jointes a un hachage unique et dispose d’un iframe invisible pour communiquer avec les attaquants et leur dire quel destinataire (adresse IP) a ouvert le fichier.
FatBoy est un petit malware de première étape dont le but est de télécharger un fichier CAB depuis le C2 toutes les 20 minutes.
Le fichier CAB contient un script batch (ball.bat), qui exécute un script VBS conçu pour effectuer une reconnaissance et exfiltrer des informations via des requêtes HTTP POST.
Un malware TA406 notable récupéré par le malware téléchargé est « YoreKey », un enregistreur de frappe Windows personnalisé se faisant passer pour MetaTrader 4 Manager, une plate-forme de commerce électronique légitime.
YoreKey assure la persistance en créant une clé de registre et en stockant ses journaux en texte brut sur le système infecté.
L’enregistreur de frappe permet aux acteurs malveillants de voler d’autres informations de connexion saisies par l’utilisateur lorsqu’il utilise son appareil.
Vol de crypto-monnaie
Parallèlement à ce qui précède, TA406 se livre également à des opérations de vol de crypto et, selon les conclusions de Proofpoint, a reçu au moins 3,77 Bitcoin, d’une valeur d’environ 222 000 $.
Cela se fait par diverses méthodes, notamment se faire passer pour des ONG pour des dons, offrir des services de décodage/désobscurcissement de fichiers (probablement faux) via un site Web nommé « Deioncube » et des escroqueries par sextorsion.
Source : Proofpoint
Il est possible que la quantité de crypto-monnaie volée soit beaucoup plus importante, car les acteurs de la menace utilisent probablement des portefeuilles supplémentaires inconnus des chercheurs de Proofpoint.
Les attaques devraient se poursuivre
Avec le large éventail d’activités malveillantes menées par les pirates informatiques TA406 et Kimsuky, nous devrions continuer à les voir mener de nouvelles attaques au nom du gouvernement nord-coréen.
« Proofpoint prévoit que cet acteur de la menace continuera à mener fréquemment des opérations de vol d’informations d’identification d’entreprise, ciblant des entités présentant un intérêt pour le gouvernement nord-coréen », déclarent les chercheurs de Proofpoint.
Ces attaques incluent un ciblage supplémentaire des sous-traitants de la défense américains et des agences de recherche nucléaire pour voler des renseignements précieux que le gouvernement nord-coréen peut utiliser.