Les pirates de la RPDC s’attaquent aux actifs cryptographiques à l’aide de l’application DeFi Wallet trojanisée

North Korea and cryptocurrency

Des pirates informatiques associés au gouvernement nord-coréen ont distribué une version trojanisée du portefeuille DeFi pour stocker des actifs de crypto-monnaie afin d’accéder aux systèmes des utilisateurs et des investisseurs de crypto-monnaie.

L’auteur de la menace s’est appuyé dans cette attaque sur des serveurs Web situés en Corée du Sud pour diffuser le logiciel malveillant et communiquer avec les implants installés.

Porte dérobée entièrement fonctionnelle

Des chercheurs de la société de cybersécurité Kaspersky ont récemment découvert une variante malveillante de l’application DeFi Wallet, qui a installé l’application légitime avec une porte dérobée déguisée en exécutable pour le navigateur Web Google Chrome.

L’application DeFi trojanisée est arrivée avec une date de compilation de novembre 2021 et a ajouté une porte dérobée complète lorsqu’elle est exécutée sur le système.

La méthode de distribution utilisée par les pirates n’est pas claire, mais les e-mails de phishing ou les contacts avec les victimes via les réseaux sociaux sont des scénarios plausibles.

Selon les chercheurs, le logiciel malveillant implanté de cette manière a « des capacités suffisantes pour contrôler » l’hôte victime en exécutant des commandes Windows, en supprimant des fichiers, en lançant ou en mettant fin à des processus, en énumérant des fichiers avec les métadonnées associées ou en connectant l’ordinateur à une adresse IP donnée.

Des fonctions supplémentaires permettent à l’opérateur de logiciels malveillants de collecter des informations sur le système (IP, nom, système d’exploitation, architecture du processeur) et les lecteurs (type, espace libre disponible), de télécharger des fichiers à partir du serveur de commande et de contrôle (C2) et d’obtenir une liste de fichiers stockés dans un emplacement spécifique.

Connexions RPDC

Les chercheurs de Kaspersky ont travaillé avec le CERT (Computer Emergency Response Team) de Corée du Sud pour éliminer certains des domaines utilisés dans cette campagne et ont pu analyser et comparer les scripts C2.

Les résultats ont révélé des chevauchements avec d’autres opérations d’attaquants liés à la Corée du Nord, génériquement appelés le groupe Lazarus.

« Nous pensons avec une grande confiance que le groupe Lazarus est lié à ce malware car nous avons identifié un malware similaire dans CookieTime [malware] cluster », Kaspersky

Le cluster de logiciels malveillants CookieTime est également connu sous le nom de PointLCPD par Japan CERT et a été lié à l’opération RPDC Dream Job, qui a attiré les victimes avec de fausses offres d’emploi d’entreprises de premier plan.

L’activité récente liée à Dream Job a été révélée plus tôt ce mois-ci par le groupe d’analyse des menaces (TAG) de Google, qui a découvert que les acteurs de la menace nord-coréens avaient utilisé un exploit pour un bug d’exécution de code à distance zero-day dans Chrome pour cibler les personnes travaillant pour les médias d’information. , les entreprises informatiques, les crypto-monnaies et les organisations fintech.

De plus, Kaspersky note « que le cluster CookieTime a des liens avec les clusters Manuscrypt et ThreatNeedle, qui sont également attribués au groupe Lazarus ».

Les connexions entre l’application DeFiWallet actuelle trojanisée et d’autres logiciels malveillants attribués aux pirates nord-coréens s’étendent non seulement au code du logiciel malveillant, mais également aux scripts C2, qui partagent de nombreuses fonctions et noms de variables.

Groupes menaçants nord-coréens

Il convient de noter que Lazarus est le terme générique utilisé pour toutes les activités de menace d’acteurs nord-coréens parrainés par l’État. Cependant, il existe plusieurs groupes menaçants au sein de la RPDC, chacun travaillant sous différentes institutions/départements de l’appareil de renseignement du pays.

En utilisant les données collectées sur 16 mois à partir de son suivi de l’activité cybernétique pour l’ensemble du pays, de la surveillance OSINT, du signalement des défectuosités et de l’analyse des images, Les chercheurs de Mandiant ont créé une évaluation de la structure de la RPDC pour ses cyberprogrammes.

Évaluation de l'appareil de renseignement nord-coréen

Selon leur carte, le ciblage des cambriolages de crypto-monnaie relève probablement des groupes motivés financièrement au sein du 3e Bureau (Foreign Intelligence) du Reconnaissance General Bureau (RGB) du pays.

Kaspersky note que l’activité récemment découverte est similaire à la compromission du portefeuille MetaMask DeFi, attribuée à un autre groupe de pirates nord-coréen qu’ils appellent BlueNoroff.

Les chercheurs ont publié des détails techniques sur la porte dérobée et comment elle est née de l’application DeFi trojanisée et ont partagé des indicateurs de compromission pour le malware et les serveurs C2 de première étape légitimes compromis utilisés pour l’attaque.