Les pirates nord-coréens étendent leurs cyberattaques mondiales en utilisant des outils blockchain

TLDR

• Les pirates nord-coréens utilisent la technologie blockchain pour développer des systèmes de commande décentralisés.
• Les fausses offres d'emploi sont une tactique courante pour les cyberattaques nord-coréennes.
• Des malwares comme BeaverTail et OtterCookie sont utilisés pour le vol d'identifiants.
• Le malware EtherHiding dissimule des charges utiles sur des blockchains publiques pour plus de discrétion.

Selon de récents rapports de Cisco Talos et du Groupe de renseignement sur les menaces de Google (GTIG), les pirates liés à la Corée du Nord intensifient leurs cyberattaques mondiales en utilisant de nouveaux outils malveillants décentralisés et évasifs. Ces campagnes ciblent des individus et des entreprises par le biais de faux programmes de recrutement, visant à voler des cryptomonnaies, accéder à des réseaux et échapper à la détection. Les chercheurs avertissent que l'utilisation de systèmes de commande basés sur la blockchain rend ces opérations plus difficiles à perturber.

Expansion des opérations cybernétiques utilisant des malwares avancés

Cisco Talos a identifié un groupe de menace nord-coréen connu sous le nom de Famous Chollima, qui continue à faire évoluer ses tactiques et ses outils. Le groupe a été observé utilisant deux familles de malwares apparentées nommées BeaverTail et OtterCookie, toutes deux développées pour voler des identifiants et collecter des données sensibles. Ces variantes mises à jour partagent désormais des fonctions qui améliorent la communication et l'efficacité pendant les attaques.

Dans un cas étudié par Cisco Talos, une organisation sri-lankaise a été indirectement affectée lorsqu'un demandeur d'emploi a été trompé en installant un programme malveillant dans le cadre d'un faux test technique. Le malware comprenait des modules pour enregistrer les frappes au clavier et prendre des captures d'écran. Les informations collectées étaient ensuite envoyées à des serveurs distants contrôlés par les attaquants. Les chercheurs ont déclaré que cette méthode montre comment les individus peuvent être compromis même lorsque les organisations ne sont pas des cibles directes.

La Blockchain comme système de commande décentralisé

Le Groupe de renseignement sur les menaces de Google a signalé qu'un acteur lié à la Corée du Nord, connu sous le nom d'UNC5342, a déployé un nouveau malware appelé EtherHiding. Ce malware dissimule des charges utiles JavaScript malveillantes sur des blockchains publiques. En utilisant cette approche, les attaquants construisent un système de commande et de contrôle (C2) décentralisé difficile à supprimer pour les autorités.

Selon le GTIG, EtherHiding permet aux attaquants de modifier à distance le comportement des malwares sans s'appuyer sur des serveurs traditionnels. Cette technique réduit les chances de perturbation puisque les données de la blockchain ne peuvent pas être facilement supprimées. Les chercheurs de Google ont lié cette opération à une campagne plus large nommée Contagious Interview, où de fausses offres d'emploi étaient utilisées pour infecter les victimes. Les résultats révèlent que les groupes nord-coréens intègrent la technologie décentralisée pour maintenir leur persistance à travers de multiples opérations.

Les fausses campagnes de recrutement comme point d'entrée principal

Cisco et Google ont tous deux observé que ces opérations cyber commencent souvent par de fausses offres d'emploi visant des professionnels des industries de la cryptomonnaie et de la cybersécurité. Les victimes sont contactées avec de supposées offres d'entretien et sont invitées à compléter de fausses évaluations qui incluent des fichiers intégrant des malwares.

Les infections impliquent un mélange de familles de malwares telles que JadeSnow, BeaverTail et InvisibleFerret, qui permettent ensemble aux attaquants de voler des identifiants, de déployer des ransomwares et d'obtenir un accès plus profond aux systèmes. Les chercheurs pensent que les campagnes visent à la fois un gain financier et un accès à long terme aux environnements d'entreprise pour l'espionnage et l'exploitation future.

Mesures défensives et menaces persistantes

Cisco Talos et Google ont publié des indicateurs de compromission (IOC) pour aider les organisations à détecter les activités malveillantes connexes. Ces indicateurs comprennent des marqueurs techniques que les équipes de sécurité peuvent utiliser pour surveiller et bloquer les comportements suspects liés à ces campagnes.

Les analystes affirment que la combinaison d'ingénierie sociale et d'outils basés sur la blockchain crée de nouveaux défis pour la défense en cybersécurité. Comme les blockchains publiques ne peuvent pas être facilement contrôlées ou arrêtées, elles deviennent une infrastructure privilégiée pour les acteurs de menaces cherchant à maintenir l'accès et à dissimuler leurs opérations.

Les chercheurs des deux entreprises continuent de suivre ces campagnes et de partager leurs découvertes avec la communauté mondiale de cybersécurité. Ils recommandent aux organisations de vérifier soigneusement les offres d'emploi, de restreindre les téléchargements de fichiers pendant les processus d'embauche et de mettre à jour les systèmes de surveillance pour détecter l'évolution des familles de malwares comme BeaverTail, OtterCookie et EtherHiding.

L'article Les pirates nord-coréens étendent leurs cyberattaques mondiales en utilisant des outils blockchain est apparu en premier sur CoinCentral.