Support technique
Documentation
Connexion
Nous contacter
Un attaquant cible les chercheurs en sécurité avec des attaques de spear-phishing
Le 21 mars 2023 - L'équipe de relations publiques de TuxCare
Selon la société de cybersécurité Mandiant, un groupe d'espionnage nord-coréen connu sous le nom de UNC2970 mène depuis juin 2022 des attaques de spear-phishing contre des médias et des organisations technologiques aux États-Unis et en Europe, en utilisant des familles de logiciels malveillants nouvelles et inconnues jusqu'alors.
Le rapport de Mandiant indique que les chercheurs en sécurité étaient les principales cibles des attaques, qui impliquaient l'utilisation de LinkedIn pour se faire passer pour des recruteurs et faciliter la communication initiale avec les victimes potentielles, suivie de la livraison d'une charge utile de phishing par le biais d'une description de poste envoyée par WhatsApp. UNC2970 est la désignation par la société de renseignement sur les menaces d'un ensemble de cyberactivités nord-coréennes qui correspond à UNC577 (alias Temp.Hermit) et comprend un autre groupe de menaces naissantes répertoriées sous le nom de UNC4034.
Les attaques visent les chercheurs en sécurité, le groupe se faisant passer pour un recruteur sur LinkedIn et entrant en contact avec des victimes potentielles. UNC2970 utilise ensuite WhatsApp pour transmettre une charge utile de phishing déguisée en fausse description d'emploi, qui contient une porte dérobée appelée Plankwalk ou des logiciels malveillants d'autres familles.
UNC2970 a traditionnellement ciblé les organisations avec des courriels de spearphishing sur le thème du recrutement. Récemment, le groupe a commencé à utiliser de faux comptes LinkedIn appartenant à de prétendus recruteurs. Les comptes sont soigneusement conçus pour ressembler à des personnes légitimes afin de tromper les cibles et d'augmenter leurs chances de succès. Finalement, l'acteur de la menace tente de transférer les conversations sur WhatsApp et, de là, utilise soit WhatsApp soit le courrier électronique pour livrer une porte dérobée que Mandiant appelle Plankwalk, ou d'autres familles de logiciels malveillants.
Lors des opérations d'hameçonnage, UNC2970 a d'abord communiqué avec les cibles via LinkedIn en tant que recruteurs. Après avoir contacté une cible, UNC2970 tentait de transférer la conversation sur WhatsApp, où il continuait à interagir avec sa cible avant d'envoyer une charge utile d'hameçonnage déguisée en description de poste. UNC2970 a continué à interagir avec une victime même après l'exécution et la détection de la charge utile d'hameçonnage, demandant des captures d'écran de la détection dans au moins un cas.
Les principales charges utiles d'hameçonnage d'UNC2970 sont des documents Microsoft Word incorporés avec des macros qui effectuent une injection de modèle à distance pour extraire et exécuter une charge utile à partir d'un serveur de commande et de contrôle distant (C2). Selon Mandiant, UNC2970 a été observé en train d'adapter les fausses descriptions d'emploi à des cibles spécifiques.
La conversation est ensuite transférée sur WhatsApp, où une charge utile d'hameçonnage est transmise à la cible sous la forme d'une description de poste. Dans certains cas, ces chaînes d'attaque déploient des versions trojanisées de TightVNC (appelées LIDSHIFT), conçues pour charger une charge utile de niveau suivant appelée LIDSHOT, capable de télécharger et d'exécuter un shellcode à partir d'un serveur distant.
Le fichier ZIP livré par UNC2970 contenait ce que la victime a pris pour un test d'évaluation des compétences pour une demande d'emploi. En réalité, le fichier ZIP contenait un fichier ISO contenant une version trojanisée de TightVNC identifiée par Mandiant sous le nom de LIDSHIFT. La victime a été invitée à lancer l'application TightVNC qui, comme les autres fichiers, porte le nom de l'entreprise pour laquelle la victime avait l'intention de passer l'évaluation.
L'attaque installe ensuite la porte dérobée Plankwalk, qui peut alors installer une variété d'autres outils, y compris l'application InTune de Microsoft pour les points de terminaison. Les terminaux inscrits dans le service Azure Active Directory d'une organisation peuvent être configurés à l'aide d'InTune. UNC2970 semble utiliser une application légitime pour contourner la sécurité des terminaux.
Les sources de cette pièce comprennent un article d'ArsTechnica.
