Publié le 2024-05-17 10:30:00. La Corée du Nord orchestre une campagne sophistiquée d’ingénierie sociale pour cibler les professionnels de la technologie, visant à la fois le financement illicite et l’espionnage, via des offres d’emploi frauduleuses.
- La Corée du Nord mène une opération d’espionnage et de piratage financier à grande échelle, exploitant les processus de recrutement pour tromper les développeurs.
- L’objectif est double : générer des revenus pour le régime en volant des cryptomonnaies et collecter des renseignements précieux au sein d’entreprises technologiques.
- Les tactiques incluent la création de faux recruteurs et d’entreprises, l’utilisation de plateformes de messagerie instantanée et la distribution de logiciels malveillants déguisés en tests techniques.
Cette campagne, qualifiée d’« opération sophistiquée et continue », met en lumière l’ingéniosité de la Corée du Nord dans l’exploitation des vulnérabilités humaines et technologiques. Elle cible particulièrement les développeurs dans les secteurs des cryptomonnaies et de la technologie, cherchant à dérober des données sensibles, des actifs numériques et à obtenir un accès persistant aux réseaux d’entreprise.
Les motivations derrière cette offensive sont claires et alignées sur les objectifs stratégiques du régime nord-coréen. D’une part, le gain financier est une priorité absolue. Le vol de cryptomonnaies et d’autres actifs permet de contourner les sanctions internationales qui pèsent sur le pays. D’autre part, l’espionnage constitue un pilier essentiel de cette stratégie. En compromettant des individus clés, Pyongyang espère recueillir des renseignements stratégiques et établir des points d’ancrage pour de futures opérations au sein d’entreprises technologiques.
Une méthode d’approche élaborée
La campagne se distingue par ses tactiques d’ingénierie sociale particulièrement léchées, conçues pour imiter à la perfection les processus de recrutement légitimes.
1. L’hameçon du phishing :
- Faux recruteurs et fausses entreprises : Les cybercriminels créent des profils frauduleux mais convaincants sur des plateformes professionnelles telles que LinkedIn et des sites d’offres d’emploi. Ils n’hésitent pas à se faire passer pour des recruteurs d’entreprises technologiques ou de cryptomonnaies renommées.
- Entités fictives : Certains acteurs vont jusqu’à créer des sites web d’entreprise et des présences sur les réseaux sociaux pour des entités imaginaires comme « BlockNovas LLC », « Angeloper Agency » ou encore « SoftGlideLLC », afin de renforcer leur crédibilité.
- Approche ciblée : Les victimes potentielles, notamment les développeurs de logiciels et de sites web, sont contactées de manière agressive avec des offres d’emploi alléchantes.
2. Le processus d’entretien piégé :
- Déplacement des conversations : Les faux recruteurs interagissent avec les candidats, déplaçant fréquemment les échanges vers des plateformes de messagerie instantanée comme Telegram ou Discord.
- Tests de codage malveillants : L’étape cruciale de l’attaque survient lors d’une phase d’évaluation technique. Les candidats sont invités à réaliser un test de codage ou à réviser un projet, ce qui implique le téléchargement de fichiers depuis des dépôts comme GitHub. Ces fichiers contiennent le code malveillant.
- Outils trompeurs : Dans d’autres variantes, les candidats sont conviés à un entretien vidéo et reçoivent un faux message d’erreur (une technique nommée ClickFix). Ce message les incite à télécharger un prétendu « correctif » ou un logiciel spécifique nécessaire à la poursuite de l’entretien, qui est en réalité un logiciel malveillant.
3. La chaîne d’infection multi-étapes
La campagne déploie un processus d’infection par logiciel malveillant en plusieurs phases pour compromettre les systèmes des victimes, affectant souvent les environnements Windows, macOS et Linux.
- Téléchargeur initial : Les paquets malveillants téléchargés par la victime sont fréquemment hébergés sur le registre npm (Node Package Manager). Ces téléchargeurs peuvent collecter des informations initiales sur le système et ensuite télécharger l’étape suivante du logiciel malveillant. Un exemple de ce type de logiciel malveillant est JADESNOW.
- Logiciel malveillant de seconde étape : Les malwares basés sur JavaScript sont conçus pour rechercher et exfiltrer des données sensibles, avec un accent particulier sur les portefeuilles de cryptomonnaies, les données d’extensions de navigateur et les identifiants. L’intégration de JADESNOW dans la chaîne d’attaque marque le passage de UNC5342 à EtherHiding, servant la porte dérobée de troisième étape INVISIBLEFERRET. D’autres exemples incluent QUEUE DE CASTOR.
- Porte dérobée de troisième étape : Pour les cibles de grande valeur, une porte dérobée plus persistante est déployée. INVISIBLEFERRET, une porte dérobée basée sur Python, offre aux attaquants un contrôle à distance sur le système compromis, facilitant ainsi l’espionnage à long terme, le vol de données et les mouvements latéraux au sein d’un réseau.
Focus sur JADESNOW et EtherHiding
JADESNOW représente une famille de logiciels malveillants téléchargeurs basés sur JavaScript, associée au groupe de menaces UNC5342. Cette souche utilise la technique EtherHiding pour récupérer, décrypter et exécuter des charges utiles malveillantes à partir de contrats intelligents sur les blockchains BNB Smart Chain et Ethereum. Les données d’entrée stockées dans le contrat intelligent peuvent être encodées en Base64 et cryptées via XOR. La charge utile finale de la chaîne d’infection JADESNOW est généralement une porte dérobée persistante telle que INVISIBLEFERRET.JAVASCRIPT.
Le déploiement et la gestion de JADESNOW diffèrent de campagnes similaires employant EtherHiding, comme celle de CLEARFAKE. La campagne CLEARFAKE, attribuée au groupe UNC5142, fonctionne comme un framework JavaScript malveillant et se fait souvent passer pour une fenêtre de mise à jour du navigateur Google Chrome sur des sites web compromis. La fonction principale de ce script est de télécharger une charge utile après qu’un utilisateur a cliqué sur un bouton « Mettre à jour Chrome ». La charge utile de seconde étape est un autre script JavaScript encodé en Base64, stocké sur la BNB Smart Chain. La charge utile finale peut être regroupée avec d’autres fichiers légitimes, tels que des images ou des fichiers de configuration, mais le malware lui-même est généralement un voleur d’informations, comme LUMASTEALER.
L’architecture globale de la chaîne d’attaque par ingénierie sociale montre comment une victime reçoit une question d’entretien malveillante, étant trompée pour exécuter du code qui lance le téléchargeur JavaScript initial. Celui-ci interagit ensuite avec un contrat intelligent malveillant pour télécharger la charge utile de seconde étape. Le contrat intelligent héberge le téléchargeur JADESNOW qui, à son tour, communique avec Ethereum pour récupérer la charge utile de troisième étape, dans ce cas INVISIBLEFERRET.JAVASCRIPT. La charge utile est exécutée en mémoire et peut interroger Ethereum pour un composant supplémentaire de vol d’identifiants. L’utilisation de plusieurs blockchains par un acteur malveillant pour ses activités EtherHiding est inhabituelle et pourrait indiquer un cloisonnement opérationnel entre différentes équipes de cyberopérateurs nord-coréens. De plus, ces campagnes exploitent fréquemment la flexibilité d’EtherHiding pour mettre à jour la chaîne d’infection et modifier les emplacements de livraison des charges utiles. En une seule transaction, le téléchargeur JADESNOW peut passer de la récupération d’une charge utile sur Ethereum à sa récupération sur la BNB Smart Chain. Cette agilité complique l’analyse et permet de tirer parti des frais de transaction réduits offerts par les réseaux alternatifs.