Un groupe de cyberespionnage lié à la Corée du Nord a été observé en train d’exploiter des leurres de phishing sur le thème du travail pour cibler des victimes potentielles dans les secteurs verticaux de l’énergie et de l’aérospatiale et les infecter avec une porte dérobée jusqu’alors non documentée baptisée MISTPEN.
Le cluster d’activités est suivi par Mandiant, propriété de Google, sous le surnom UNC2970qui, selon lui, chevauche un groupe menaçant connu sous le nom de TEMP.Hermit, également largement appelé Lazarus Group ou Diamond Sleet (anciennement Zinc).
L’acteur menaçant a l’habitude de cibler les institutions gouvernementales, de défense, de télécommunications et financières du monde entier depuis au moins 2013 pour collecter des renseignements stratégiques qui servent les intérêts nord-coréens. Elle est affiliée au Bureau général de reconnaissance (RGB).
La société de renseignement sur les menaces a déclaré avoir observé que l’UNC2970 distinguait diverses entités situées aux États-Unis, au Royaume-Uni, aux Pays-Bas, à Chypre, en Suède, en Allemagne, à Singapour, à Hong Kong et en Australie.
“UNC2970 cible les victimes sous couvert d’offres d’emploi, se faisant passer pour un recruteur pour des entreprises de premier plan”, a-t-il déclaré dans une nouvelle analyse, ajoutant qu’il copie et modifie les descriptions de poste en fonction des profils cibles.
“De plus, les descriptions de poste choisies ciblent les employés de niveau supérieur/cadre. Cela suggère que l’acteur malveillant vise à accéder à des informations sensibles et confidentielles qui sont généralement réservées aux employés de niveau supérieur.”
Les chaînes d’attaque, également connues sous le nom d’Opération Dream Job, impliquent l’utilisation de leurres de spear phishing pour dialoguer avec les victimes par courrier électronique et WhatsApp dans le but d’instaurer la confiance, avant d’envoyer un fichier d’archive ZIP malveillant présenté comme une description de poste.
Chose intéressante, le fichier PDF de la description ne peut être ouvert qu’avec une version trojanisée d’une application de lecture PDF légitime appelée Sumatra PDF incluse dans l’archive pour diffuser MISTPEN au moyen d’un lanceur appelé BURNBOOK.
Il convient de noter que cela n’implique pas une attaque de la chaîne d’approvisionnement et qu’il n’y a pas non plus de vulnérabilité dans le logiciel. Il s’est avéré que l’attaque utilisait une ancienne version PDF de Sumatra qui a été réutilisée pour activer la chaîne d’infection.
Il s’agit d’une méthode éprouvée adoptée par le groupe de piratage informatique dès 2022, Mandiant et Microsoft soulignant l’utilisation d’une large gamme de logiciels open source, notamment PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et Installateur du logiciel muPDF/Subliminal Recording pour ces attaques.
On pense que les auteurs de la menace demandent probablement aux victimes d’ouvrir le fichier PDF à l’aide du programme de visualisation PDF armé ci-joint pour déclencher l’exécution d’un fichier DLL malveillant, un lanceur C/C++ appelé BURNBOOK.
“Ce fichier est un dropper pour une DLL intégrée, ‘wtsapi32.dll’, qui est suivie comme TEARPAGE et utilisée pour exécuter la porte dérobée MISTPEN après le redémarrage du système”, ont déclaré les chercheurs de Mandiant. “MISTPEN est une version trojanisée d’un plugin Notepad++ légitime, binhex.dll, qui contient une porte dérobée.”
TEARPAGE, un chargeur intégré à BURNBOOK, est responsable du décryptage et du lancement de MISTPEN. Implant léger écrit en C, MISTPEN est équipé pour télécharger et exécuter des fichiers Portable Executable (PE) récupérés à partir d’un serveur de commande et de contrôle (C2). Il communique via HTTP avec les URL Microsoft Graph suivantes.
Mandiant a également déclaré avoir découvert d’anciens artefacts BURNBOOK et MISTPEN, suggérant qu’ils sont améliorés de manière itérative pour ajouter plus de capacités et lui permettre de voler sous le radar. Les premiers échantillons de MISTPEN utilisaient également des sites Web WordPress compromis comme domaines C2.
“Les acteurs malveillants ont amélioré leurs logiciels malveillants au fil du temps en implémentant de nouvelles fonctionnalités et en ajoutant une vérification de la connectivité réseau pour entraver l’analyse des échantillons”, ont déclaré les chercheurs.