Corée du Nord : l'ultime cyberattaque ? Les logiciels malveillants évasifs et la blockchain dans le collimateur.

Les acteurs de la menace liés à la Corée du Nord intensifient leurs cyberopérations, en utilisant des outils malveillants décentralisés et évasifs, selon les nouvelles conclusions de Cisco Talos et de Google Threat Intelligence Group.

Les campagnes visent à voler des crypto-monnaies, à infiltrer des réseaux et à échapper aux contrôles de sécurité par le biais d'escroqueries de recrutement sophistiquées.

L'évolution des techniques d'évasion des logiciels malveillants

Les chercheurs de Cisco Talos ont identifié une campagne en cours menée par le groupe nord-coréen Famous Chollima, qui utilisait deux souches de logiciels malveillants complémentaires : BeaverTail et OtterCookie.

Ces programmes, traditionnellement utilisés pour le vol d'informations d'identification et l'exfiltration de données, ont évolué pour intégrer de nouvelles fonctionnalités et une interaction plus étroite.

Dans un incident récent impliquant une organisation au Sri Lanka, les attaquants ont incité un demandeur d'emploi à installer un code malveillant déguisé en évaluation technique.

Cette observation souligne l'évolution constante des groupes de menace liés à la Corée du Nord et l'importance qu'ils accordent aux techniques d'ingénierie sociale pour compromettre des cibles peu méfiantes.

La blockchain utilisée comme infrastructure de commande

Le Google Threat Intelligence Group (GTIG) a identifié une opération menée par l'acteur lié à la Corée du Nord, UNC5342. Le groupe a utilisé un nouveau logiciel malveillant appelé EtherHiding.

Cet outil cache des charges utiles JavaScript malveillantes sur une blockchain publique, la transformant en un réseau de commande et de contrôle (C2) décentralisé.

En utilisant la blockchain, les attaquants peuvent modifier à distance le comportement du logiciel malveillant sans avoir recours à des serveurs traditionnels. Les actions d'application de la loi deviennent ainsi beaucoup plus difficiles.

En outre, le GTIG a indiqué que UNC5342 avait appliqué EtherHiding dans une campagne d'ingénierie sociale appelée Contagious Interview, précédemment identifiée par Palo Alto Networks, ce qui démontre la persistance des acteurs de la menace alignés sur la Corée du Nord.

Cible : professionnels du secteur cryptographique

Selon les chercheurs de Google, ces cyberopérations commencent généralement par des offres d'emploi frauduleuses ciblant les professionnels des secteurs des crypto-monnaies et de la cybersécurité.

Les victimes sont invitées à participer à de fausses évaluations, au cours desquelles on leur demande de télécharger des fichiers contenant un code malveillant.

Le processus d'infection implique souvent plusieurs familles de logiciels malveillants, dont JadeSnow, BeaverTail et InvisibleFerret. Ensemble, ces outils permettent aux attaquants d'accéder aux systèmes, de voler des informations d'identification et de déployer des ransomwares de manière efficace. Leurs objectifs finaux vont de l'espionnage et du vol financier à l'infiltration de réseaux à long terme.

Cisco et Google ont publié des indicateurs de compromission (IOC) pour aider les organisations à détecter et à répondre aux cybermenaces en cours liées à la Corée du Nord. Les chercheurs préviennent que l'intégration de la blockchain et des logiciels malveillants modulaires continuera probablement à compliquer les efforts de défense de la cybersécurité à l'échelle mondiale.