Des pirates informatiques parrainés par l’État nord-coréen connus sous le nom d’APT37 ont été découverts en train de cibler des journalistes spécialisés en RPDC avec une nouvelle souche de malware.
Le logiciel malveillant est distribué via une attaque de phishing découverte pour la première fois par NK News, un site d’information américain dédié à la couverture de l’actualité et à la recherche et à l’analyse sur la Corée du Nord, en utilisant des renseignements provenant de l’intérieur du pays.
Le groupe de piratage APT37, alias Ricochet Chollima, serait parrainé par le gouvernement nord-coréen, qui considère les reportages comme une opération hostile, et a tenté d’utiliser cette attaque pour accéder à des informations hautement sensibles et potentiellement identifier les sources des journalistes.
Après NK News découvert l’attaque, ils ont contacté les experts en logiciels malveillants de Cage d’escalier pour une assistance supplémentaire, qui a pris en charge l’analyse technique.
Stairwell a trouvé un nouvel échantillon de logiciel malveillant nommé « Goldbackdoor », qui a été évalué comme un successeur de « Bluelight ».
Il convient de noter que ce n’est pas la première fois qu’APT37 est lié à des campagnes de logiciels malveillants ciblant des journalistes, le plus récent étant un rapport de novembre 2021 utilisant la porte dérobée « Chinotto » hautement personnalisable.
Infection sophistiquée
Les e-mails de phishing provenaient du compte de l’ancien directeur du National Intelligence Service (NIS) de Corée du Sud, qu’APT37 avait précédemment compromis.
La campagne hautement ciblée a utilisé un processus d’infection en deux étapes qui a donné aux acteurs de la menace une plus grande polyvalence de déploiement et a rendu difficile pour les analystes l’échantillonnage des charges utiles.
Les e-mails envoyés aux journalistes contenaient un lien pour télécharger les archives ZIP contenant des fichiers LNK, tous deux nommés « Kang Min-chol edits ». Kang Min-chol est le ministre nord-coréen des industries minières.
Le fichier LNK (raccourci Windows) est masqué par une icône de document et utilise un rembourrage pour augmenter artificiellement sa taille à 282,7 Mo, ce qui entrave les téléchargements faciles vers Virus Total et d’autres outils de détection en ligne.
Lors de l’exécution, un script PowerShell se lance et ouvre un document leurre (doc) pour la distraction tout en décodant un deuxième script en arrière-plan.
Le document leurre contenait une image externe intégrée hébergée sur la plate-forme Heroku, qui alerte les acteurs de la menace lorsque le document est consulté.
Le deuxième script télécharge et exécute une charge utile de shellcode stockée sur Microsoft OneDrive, un service d’hébergement de fichiers légitime basé sur le cloud qui est peu susceptible de générer des alertes AV.
Cette charge utile s’appelle « Fantasy », et selon Stairwell, c’est le premier des deux mécanismes de déploiement de Goldbackdoor, tous deux reposant sur l’injection furtive de processus.
Logiciel malveillant Goldbackdoor
Goldbackdoor est exécuté comme un fichier PE (exécutable portable) et peut accepter des commandes de base à distance et exfiltrer des données.
Pour cela, il est livré avec un ensemble de clés API qu’il utilise pour s’authentifier auprès d’Azure et récupérer les commandes à exécuter. Ces commandes sont liées à l’enregistrement des frappes, aux opérations sur les fichiers, au RCE de base et à la possibilité de se désinstaller.
Le malware utilise des services cloud légitimes pour l’exfiltration de fichiers, Stairwell remarquant l’abus de Google Drive et de Microsoft OneDrive.
Les fichiers ciblés par Goldbackdoor sont principalement des documents et des médias, tels que PDF, DOCX, MP3, TXT, M4A, JPC, XLS, PPT, BIN, 3GP et MSG.
Bien qu’il s’agisse d’une campagne très ciblée, la découverte, l’exposition et les règles de détection résultantes ainsi que les hachages de fichiers disponibles dans Rapport technique de la cage d’escalier sont toujours importants pour la communauté infosec.