Le groupe d’acteurs de la menace nord-coréen connu sous le nom de « BlueNoroff » a été repéré ciblant les startups de crypto-monnaie avec des documents malveillants et de fausses extensions de navigateur MetaMask.
Le motif de ce groupe est purement financier, mais sa sophistication dans la réalisation des objectifs a déjà conduit les chercheurs à conclure qu’il s’agissait d’un sous-groupe du gang nord-coréen Lazarus.
Bien que BlueNoroff soit active depuis plusieurs années, sa structure et son fonctionnement sont entourés de mystère.
Un rapport de Kaspersky tente de faire la lumière en utilisant les renseignements recueillis lors de la dernière activité observée, remontant à novembre 2021.
Cibles
Les dernières attaques se concentrent sur les startups de crypto-monnaie situées aux États-Unis, en Russie, en Chine, en Inde, au Royaume-Uni, en Ukraine, en Pologne, en République tchèque, aux Émirats arabes unis, à Singapour, en Estonie, au Vietnam, à Malte, en Allemagne et à Hong Kong.
Source : Kaspersky
Les acteurs de la menace tentent d’infiltrer les communications de ces entreprises et de cartographier les interactions entre les employés pour en déduire des voies potentielles d’ingénierie sociale.
Dans certains cas, ils le font en compromettant le compte LinkedIn d’un employé et en partageant un lien pour télécharger un document macro-lacé directement sur la plate-forme.
BlueNoroff utilise ces discussions réelles pour nommer les documents lacés en conséquence et les envoyer à l’employé cible au bon moment.
Source : Kaspersky
Pour suivre leur campagne, ils incluent une icône d’un service de suivi tiers (Sendgrid) pour recevoir une notification lorsque la victime ouvre le document envoyé.
Les noms et logos d’entreprise représentés par BlueNoroff sont indiqués ci-dessous :
Source : Kaspersky
Comme le souligne Kaspersky, ces sociétés n’ont peut-être pas été compromises et Sendgrid peut ne pas savoir (avoir été informé) que les APT nord-coréens en abusent.
Chaînes d’infection
La première chaîne d’infection utilise des documents contenant des scripts VBS, qui exploitent une ancienne vulnérabilité d’injection de modèle à distance (CVE-2017-0199).
Source : Kaspersky
La deuxième chaîne d’infection repose sur l’envoi d’une archive contenant un fichier de raccourci et un document protégé par mot de passe (Excel, Word ou PDF).
Source : Kaspersky
Le fichier LNK qui contient soi-disant le mot de passe pour ouvrir le document lance une série de scripts qui récupèrent la charge utile de l’étape suivante.
Finalement, dans les deux cas, une porte dérobée avec les fonctionnalités suivantes est déposée sur la machine infectée :
- Manipulation de répertoire/fichier
- Manipulation de processus
- Manipulation du registre
- Exécuter des commandes
- Mise à jour de la configuration
- Voler des données stockées dans Chrome, Putty et WinSCP
Un faux MetaMask vole la crypto des victimes
BlueNoroff vole les informations d’identification des utilisateurs qui peuvent être utilisées pour un mouvement latéral et une infiltration plus profonde du réseau, tout en collectant également des fichiers de configuration pertinents pour le logiciel de crypto-monnaie.
« Dans certains cas où les attaquants ont réalisé qu’ils avaient trouvé une cible importante, ils ont surveillé attentivement l’utilisateur pendant des semaines ou des mois », lit-on Le rapport de Kaspersky.
« Ils ont collecté les frappes et surveillé les opérations quotidiennes de l’utilisateur tout en planifiant une stratégie de vol financier. »
La principale astuce utilisée pour voler les actifs de crypto-monnaie consiste à remplacer les composants principaux des extensions de navigateur de gestion de portefeuille par des versions falsifiées qui sont déposées sur la mémoire locale.
Source : Kaspersky
Kaspersky note que la falsification de l’extension Metamask Chrome nécessite une analyse approfondie de 170 000 lignes de code, indiquant les compétences et la détermination de BlueNoroff.
Les victimes ne peuvent détecter que l’extension est fausse en basculant le navigateur en mode développeur et en voyant la source de l’extension pointer vers un répertoire local plutôt que vers la boutique en ligne.
Source : Kaspersky
Lorsque la cible utilise un portefeuille matériel, les acteurs attendent les transactions et détournent les montants en changeant l’adresse du destinataire.
Parce qu’ils n’ont qu’une seule chance avant que la victime ne se rende compte de l’infection, les acteurs modifient également le montant de la transaction au maximum, drainant les actifs en un seul geste.
Indices d’attribution
En ce qui concerne l’attribution, les chercheurs de Kaspersky signalent avoir constaté des chevauchements et des similitudes entre les scripts PowerShell et les backdoors utilisés dans les campagnes les plus récentes et passées.
Source : Kaspersky
De plus, le schéma d’acquisition d’adresses C2 est similaire aux attaques de 2016, utilisant une valeur DWORD codée en dur pour résoudre une adresse IP via XORing.
Enfin, les métadonnées des fichiers de raccourcis Windows supprimés dans le cadre de la deuxième chaîne d’infection contiennent des caractères coréens.