ClickCease Attaque nord-coréenne : Les pirates utilisent le jeu à des fins financières - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Attaque nord-coréenne : Les pirates utilisent le jeu à des fins financières

par Wajahat Raja

Le 11 novembre 2024 - L'équipe d'experts de TuxCare

Selon des informations récentes, plusieurs acteurs de la menace liés à la Corée du Nord ont été impliqués dans l'utilisation d'une famille de ransomwares connue sous le nom de Play. Les rapports affirment que l'attaque attaque nord-coréenne aurait été orchestrée pour des raisons financières. Dans cet article, nous allons découvrir les détails de l'attaque nord-coréenne. attaque nord-coréenneLes auteurs de l'attaque, le cycle de vie de l'attaque, les outils et bien d'autres choses encore. C'est parti !

Attaque nord-coréenne Découverte d'un acteur de la menace

Avant d'entrer dans les détails de l'attaque de la attaque nord-coréenneil convient de mentionner que des activités liées à celle-ci ont été observées entre mai et septembre 2024. Ces activités ont été attribuées à l'acteur de la menace nommé Jumpy Pisces. L'acteur de la menace est également connu sous plusieurs noms, dont :

  • Andariel.
  • APT45.
  • DarkSeoul.
  • Nickel Hyatt. 
  • Onyx Sleet (anciennement Plutonium).
  • Opération Troy. 
  • Chollima silencieuse. 
  • Mouche de la pierre.

L'acteur de la menace à l'origine de l'attaque attaque nord-coréenne a été identifié par l'unité 42 du réseau Palo Alto. On pense que l'entité est parrainée par la Corée du Nord et qu'elle est associée au Bureau général de reconnaissance de l'Armée populaire coréenne.

Le groupe a été impliqué dans diverses initiatives en ligne, dont le cyberespionnage, la criminalité financière et les attaques par ransomware. Les premières enquêtes ont révélé un changement dans les tactiques du groupe en raison de sa collaboration avec le ransomware Play. 

Il est intéressant de noter que ce changement marque la première utilisation par le groupe d'une infrastructure de ransomware existante. Au cours de l'attaque, le groupe a pu agir en tant que courtier d'accès initial (IAB) ou en tant qu'affilié de Play. 

En outre, ce changement tactique met en évidence l'implication plus profonde du groupe dans le paysage plus large des menaces liées aux ransomwares. Jumpy Pisces a également été inculpé par le ministère de la justice des États-Unis pour avoir développé un logiciel malveillant personnalisé appelé Maui. 

Découverte initiale d'une cyberattaque par les Poissons agités

La découverte initiale de l'attaque Jumpy Pisces remonte à septembre 2024, alors que le ransomware Play a été signalé pour la première fois à la mi-2022. Au début du mois de septembre, l'unité 42 a répondu à une demande d'intervention pour une organisation soupçonnée d'être touchée par le ransomware Play. 

Il convient de noter que Play est considéré comme le groupe fermé qui exploite la menace en développant et en exécutant les attaques. Les résultats suggèrent que le groupe est passé à un modèle opérationnel de ransomware en tant que service (RaaS). Le groupe de pirates a toutefois nié cette transition sur son site de fuites. 

Dans le cadre de l'enquête sur l'attaque, il a été identifié que Jumpy Pisces a obtenu un accès initial via un compte d'utilisateur compromis en mai 2024. 

Outils d'attaque détaillés 

Après avoir obtenu l'accès, plusieurs mouvements latéraux ont été effectués, permettant à l'acteur de la menace de maintenir sa persistance. En outre, le groupe de pirates a également diffusé un outil open-source, Sliver, et son propre logiciel malveillant appelé DTrack, sur d'autres hôtes. Le protocole Server Message Block (SMB) a été utilisé pour cette diffusion. 

Les experts en cybersécurité qui ont enquêté sur l'attaque nord-coréenne attaque nord-coréenneont découvert plusieurs outils utilisés jusqu'au déploiement du ransomware Play. Ces outils sont les suivants

  • Sliver - Sliver est une version personnalisée de l'outil de red-teaming open-source utilisé pour les initiatives C2. Lors d'attaques récentes, cet outil a été observé comme une alternative à Cobalt Strike. Cette version personnalisée envoie des balises à l'adresse IP "172.96.137[.]224." Cette adresse IP et son domaine, "americajobmail[.]site," ont été liés à Jumpy Pisces.
  • DTrack - DTrack est un voleur d'informations qui a déjà été utilisé dans des incidents criminels en ligne attribués à la Corée du Nord. L'attaque attaque nord-coréenne collecte d'abord des données, puis les compresse et les déguise en fichier GIF.
  • Mimikatz - Mimikatz est une version personnalisée de l'outil de vidage d'informations d'identification accessible au public, qui utilise les éléments suivants "C:\windows\temp\KB0722.log" comme journal de vidage.

Outre ces outils, l'auteur de la menace a également utilisé un outil spécifique conçu pour créer un compte d'utilisateur privilégié sur les appareils compromis. Pour ce faire, l'outil s'est appuyé sur le protocole de bureau à distance (RDP). 

En outre, un binaire trojanisé a également été utilisé pour voler l'historique du navigateur, les remplissages automatiques et les détails des cartes de crédit pour Chrome, Edge et Brave. Les informations récupérées par le binaire ont été enregistrées dans le fichier "%TEMP%" (%TEMP%). Pour en savoir plus, les experts de l'Unité 42 ont déclaré que :

"Tous les fichiers susmentionnés ont été signés à l'aide de quelques certificats non valides que nous mentionnons dans la section Indicateurs de compromission de cet article. Ces certificats, précédemment liés à Jumpy Pisces, ont permis aux fichiers de se faire passer pour des fichiers créés par des entités légitimes".

Jouer la séquence et le cycle de vie d'un ransomware

Une fois distribués, les outils à distance ont communiqué avec leur serveur de commande et de contrôle (C2) jusqu'au début du mois de septembre, ce qui a permis de déployer le ransomware Play. Le groupe a eu accès au réseau de mai 2024 à septembre 2024 et la séquence détaillée des événements est présentée ci-dessous. 

28 mai au 31 mai 

C'est au cours de cette période que les premiers signes d'activités malveillantes ont été détectés. Pour lancer l'attaque de la attaque nord-coréenneles pirates ont d'abord compromis un compte d'utilisateur pour obtenir un accès initial. Ils ont ensuite effectué un vidage partiel du registre pour accéder aux informations d'identification et ont commencé à diffuser Sliver et DTrack sur plusieurs hôtes.

Du 5 au 25 juin 

Après avoir déployé les outils malveillants, les pirates ont ensuite lancé le balisage Sliver C2. L'outil a été distribué à d'autres hôtes alors même que le processus de balisage se poursuivait. Une fois déployés avec succès, les outils ont été utilisés pour lancer des navigateurs Internet avec des administrateurs de données utilisateur personnalisés et les fonctions de sandboxing ont été désactivées. 

Du 3 au 30 août 

Dans cette phase de l'attaque de la attaque nord-coréenneles pirates lancent le développement de la persistance et les protocoles de découverte interne. Il s'agit notamment de créer un service malveillant, de recueillir des données de configuration du réseau, de mener des sessions RDP et de procéder à un balisage C2.

Du 2 au 4 septembre 

Lors de la quatrième phase de l'attaque de la attaque nord-coréennel'accès aux informations d'identification a été acquis. Ensuite, les auteurs de la menace ont commencé à extraire les ruches des registres Windows Security Account Manager (SAM), Security et System.

5 septembre 

Cette étape de l'attaque de la attaque nord-coréenne est le moment où l'activité pré-ransomware a commencé. Pour préparer le système compromis au déploiement du ransomware, diverses initiatives malveillantes ont été lancées. Il s'agit notamment de

  • Utilisation du gestionnaire des tâches pour le vidage de LSASS. 
  • Abus des jetons d'accès à Windows. 
  • Utilisation de PsExec pour les mouvements latéraux. 
  • Escalade vers le SYSTÈME. 
  • Utilisation de capteurs EDR.

Une fois ces activités menées à bien, plusieurs hôtes de ce réseau qui avaient été compromis ont été cryptés par le ransomware Play. 

Mesures d'atténuation pour assurer la protection 

Avant de nous pencher sur les mesures d'atténuation, il convient de noter que le compte compromis utilisé dans cette attaque de la attaque nord-coréenne pour obtenir l'accès initial était le même que celui utilisé dans les déploiements précédents de ransomware. Palo Alto Network a déclaré que ces résultats ont été communiqués aux membres de la Cyber Threat Alliance (CTA).

Ces experts sont susceptibles d'utiliser ces informations pour déployer des mesures de protection. mesures de protection qui garantissent la sécurité de leurs clients. Commentant la prévalence de la menace, les experts de l'Unité 42 ont déclaré que :

"Nous nous attendons à ce que leurs attaques ciblent de plus en plus de victimes dans le monde entier. Les défenseurs des réseaux devraient considérer l'activité de Jumpy Pisces comme un précurseur potentiel d'attaques par ransomware, et pas seulement comme de l'espionnage, ce qui souligne la nécessité d'une vigilance accrue."

Pour l'instant, les utilisateurs sont invités à contacter l'équipe de réponse à l'incident de l'unité 42 (Unit 42 Incident Response Team). l'équipe de réponse aux incidents de l'unité 42 s'ils pensent avoir été victimes de l'attaque nord-coréenne. attaque nord-coréenne.

Conclusion 

L'attaque attaque nord-coréenne orchestrée par Jumpy Pisces met en évidence un changement dangereux dans les tactiques des ransomwares, les pirates soutenus par la Corée du Nord visant le gain financier. Utilisant des outils tels que Sliver, DTrack et Play ransomware, ces cybercriminels ont exécuté une attaque sophistiquée en plusieurs phases pendant des mois.

Alors que les ransomwares continuent d'évoluer, il est essentiel pour les organisations de rester vigilantes, de mettre en œuvre des mesures de sécurité robustes et de s'assurer que les ransomwares sont bien protégés. des mesures de sécurité robusteset de surveiller les indicateurs de compromission liés aux acteurs de la menace en ligne.

Les sources de cet article comprennent des articles dans The Hacker News et Unité 42.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !