Une campagne de cyberattaques en cours vise les personnes parlant le coréen en utilisant des leurres de documents sur le thème de l’armée américaine pour les inciter à exécuter des logiciels malveillants sur des systèmes compromis.
La société de cybersécurité Securonix suit l’activité sous le nom STARK#MULE.
« Sur la base de la source et des cibles probables, ces types d’attaques sont à égalité avec les attaques passées provenant de groupes nord-coréens typiques tels que APT37, car la Corée du Sud a toujours été une cible principale du groupe, en particulier de ses responsables gouvernementaux », ont déclaré les chercheurs en sécurité Den. Iuzvyk, Tim Peck et Oleg Kolesnikov ont déclaré dans un rapport partagé avec The Hacker News.
APT37, également connu sous les noms de Nickel Foxcroft, Reaper, Ricochet Chollima et ScarCruft, est un acteur d’État-nation nord-coréen connu pour se concentrer exclusivement sur les cibles de son homologue du sud, en particulier celles impliquées dans les reportages sur la Corée du Nord et les transfuges de soutien.
Les chaînes d’attaque montées par le groupe se sont historiquement appuyées sur l’ingénierie sociale pour hameçonner les victimes et livrer des charges utiles telles que RokRat sur les réseaux cibles. Cela dit, le collectif contradictoire a élargi son arsenal offensif avec une variété de familles de logiciels malveillants au cours des derniers mois, y compris une porte dérobée basée sur Go appelée AblyGo.
Un trait notable de la nouvelle campagne est l’utilisation de sites Web de commerce électronique coréens compromis pour la mise en scène de charges utiles et de commande et contrôle (C2) dans le but de passer sous le radar des solutions de sécurité installées sur les systèmes.
Les e-mails de phishing qui agissent en tant qu’ancêtres utilisent les messages de recrutement de l’armée américaine pour convaincre les destinataires d’ouvrir un fichier d’archive ZIP, qui contient un fichier de raccourci qui apparaît sous le couvert d’un document PDF.
Le fichier de raccourci, lorsqu’il est lancé, affiche un PDF leurre, mais active aussi subrepticement l’exécution d’un fichier « Thumbs.db » voyou présent dans le fichier d’archive.
« Ce fichier remplit plusieurs fonctions, notamment le téléchargement d’autres outils de transfert et l’utilisation de schtasks.exe pour établir la persistance », ont expliqué les chercheurs.
Deux des modules de la prochaine étape – « lsasetup.tmp » et « winrar.exe » – sont récupérés à partir d’un site Web de commerce électronique compromis nommé « www.jkmusic.co[.]kr », ce dernier étant utilisé pour extraire et exécuter le contenu de « lsasetup.tmp », un binaire obfusqué qui a atteint un deuxième site de commerce électronique nommé « www.notebooksell[.]kr. »
« Une fois la connexion établie, les attaquants ont pu acquérir des détails sur le système tels que le MAC du système, la version de Windows, [and] adresse IP », ont déclaré les chercheurs. « Les deux sites Web sont enregistrés en Corée [and] utiliser uniquement le protocole HTTP. »
La divulgation intervient alors qu’APT37 a également été observé en train d’utiliser des fichiers CHM dans des e-mails de phishing se faisant passer pour des e-mails de sécurité d’instituts financiers et de compagnies d’assurance pour déployer des logiciels malveillants voleurs d’informations et d’autres binaires, selon le AhnLab Security Emergency Response Center (ASEC).
« En particulier, les logiciels malveillants qui ciblent des utilisateurs spécifiques en Corée peuvent inclure du contenu sur des sujets d’intérêt pour l’utilisateur pour les encourager à exécuter le logiciel malveillant, de sorte que les utilisateurs doivent s’abstenir d’ouvrir des e-mails provenant de sources inconnues et ne doivent pas exécuter leurs pièces jointes », a déclaré l’ASEC.
APT37 est l’un des nombreux groupes parrainés par l’État nord-coréen qui ont attiré l’attention sur l’exécution d’attaques conçues pour perpétrer le vol financier – y compris les récentes attaques contre Alphapo et CoinsPaid – et recueillir des renseignements dans la poursuite des objectifs politiques et de sécurité nationale du régime.
Cela comprend également le célèbre groupe Lazarus et ses sous-clusters Andariel et BlueNoroff, les acteurs tirant parti d’une nouvelle porte dérobée baptisée ScoutEngine et d’une version entièrement réécrite d’un framework de logiciels malveillants appelé MATA (MATAv5) lors d’intrusions visant des sous-traitants de la défense en Europe de l’Est en septembre. 2022.
« Ce malware sophistiqué, entièrement réécrit à partir de zéro, présente une architecture avancée et complexe qui utilise des modules et des plugins chargeables et intégrés », a déclaré Kaspersky dans son rapport sur les tendances APT pour le deuxième trimestre 2023.
« Le logiciel malveillant exploite les canaux de communication inter-processus (IPC) en interne et utilise une gamme variée de commandes, ce qui lui permet d’établir des chaînes de proxy sur divers protocoles, y compris dans l’environnement de la victime. »
