Microsoft a affirmé qu’une équipe nord-coréenne se faisait passer pour des recruteurs de LinkedIn pour distribuer des versions empoisonnées de progiciels open source.
Le groupe parrainé par l’État existe depuis 2009 et aurait été à l’origine de l’attaque de 2014 contre Sony Pictures en représailles à la comédie controversée de Seth Rogen. L’interview.
Doublé “ZINC”, les acteurs de la menace ont déjà mené des programmes de phishing à long terme ciblant les médias, la défense et l’aérospatiale, et les organisations de services informatiques aux États-Unis, au Royaume-Uni, en Inde et en Russie.
À partir de juin de cette année, ZINC s’est appuyé sur des tactiques d’ingénierie sociale : contacter des cibles sur LinkedIn et prétendre être un recruteur, établir la confiance avec les cibles et basculer les communications vers WhatsApp où ils ont livré le shellcode de la famille de logiciels malveillants ZetaNile.
Les charges utiles étaient soit emballées avec des implants logiciels commerciaux comme Themida et VMProtect, soit chiffrées avec des algorithmes personnalisés, qui sont déchiffrés à l’aide d’une clé personnalisée dans la DLL.
“En encodant les informations sur la victime dans les paramètres de mots clés courants tels que gametype ou bbs dans les HTTP POST, ces communications C2 peuvent se fondre dans le trafic légitime”, déplore Microsoft.
Le logiciel open source comprenait PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le programme d’installation du logiciel muPDF/Subliminal Recording. Une fois sur place, les pirates utilisent des outils d’accès à distance personnalisés tels que FoggyBrass et PhantomStar.
Microsoft a déclaré que le but des attaques semble être le cyberespionnage ordinaire et les tentatives de vol d’argent ou de données, ou simplement le sabotage du réseau d’entreprise.
Si le groupe existe depuis 2009, pourquoi en parler maintenant ?
“En raison de la large utilisation des plates-formes et des logiciels que ZINC utilise dans cette campagne, ZINC pourrait constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et régions”, a déclaré Microsoft.
L’équipe de prévention et de défense contre les menaces de LinkedIn a détecté que ZINC créait de faux profils et ciblait des ingénieurs et des professionnels du support technique dans le passé, et lorsqu’ils le faisaient, ils les fermaient. Cependant, l’éducation des utilisateurs finaux peut grandement contribuer à la protection des informations personnelles et professionnelles.
Microsoft a conseillé d’analyser les indicateurs de compromission (IOC) et le trafic provenant de certaines adresses IP. Il est également recommandé de revoir les exigences d’authentification pour l’accès à distance et de garantir l’utilisation de l’authentification multifacteur. ®
