Posté le avril 2, 2022 à 3:52

DES HACKERS NORD-CORÉENS DIFFUSENT UNE VERSION TROJANISÉE DE L’APPLICATION DEFI WALLET

Un rapport récent a révélé que des acteurs de menaces liés au gouvernement Coréen distribuent une version trojanisée de l’application DeFi Wallet. Les hackers utilisent ces portefeuilles pour accéder aux appareils et systèmes utilisés par les détenteurs de crypto-monnaies et les investisseurs.

Selon le rapport, les hackers ont profité de l’attaque de serveurs web en Corée du Sud pour implanter le logiciel malveillant et communiquer directement avec les implants installés.

Le groupe de hackers Nord-Coréens, connu sous le nom de Lazarus Group, utilise cette campagne pour réaliser des gains financiers. Il utilise une application DeFi Wallet trojanisée pour installer une porte dérobée complète dans les machines Windows compromises.

L’application dispose de plusieurs fonctionnalités

L’application est dotée de fonctionnalités permettant de sauvegarder et de gérer un portefeuille de crypto-monnaies. Elle peut également déclencher la diffusion de l’implant qui prend le contrôle de l’hôte infecté. Selon la société Russe de cybersécurité Kaspersky, l’application malveillante a été découverte mi-décembre.

Selon le rapport, le système d’infection initié par l’application peut conduire au déploiement du programme d’installation d’une application légitime. Dans ce cas, un cheval de Troie peut être utilisé pour écraser la version et couvrir ses traces. La manière dont les acteurs de la menace obtiennent l’accès initial n’est pas encore claire, bien que certains chercheurs pensent que c’est par le biais de l’ingénierie sociale.

Le cheval de Troie exécute un large éventail de commandes.

Le logiciel malveillant généré se cache sous la forme d’un navigateur web Google Chrome et lance ensuite une application de portefeuille destinée à DeFiChain. Il établit également des liens avec le domaine distant contrôlé par l’attaquant tout en recueillant d’autres instructions auprès du serveur de commande et de contrôle (C2).

Le cheval de Troie va exécuter un large éventail de commandes sur la base des informations reçues du serveur C2. Il peut ainsi recueillir des informations sur le système, supprimer des fichiers, mettre fin à des processus, enregistrer des fichiers arbitraires et lancer de nouveaux processus.

Les chercheurs de Kaspersky ont noté que l’infrastructure C2 utilisée dans la campagne consistait en des serveurs web précédemment exposés en Corée du Sud. Cela a incité les chercheurs à collaborer avec l’équipe d’intervention d’urgence informatique du pays pour sécuriser les serveurs.

Ce dernier rapport sur le groupe Nord-Coréen intervient deux mois après que Kaspersky a fait état d’une campagne similaire, baptisée « SnatchCrypto », organisée par le même groupe Lazarus. Les hackers volent des crypto-monnaies dans les portefeuilles MetaMask de leurs victimes.

Le groupe Lazarus recherche des gains financiers

Contrairement à d’autres groupes de hackers parrainés par l’État, le groupe Lazarus a pour principale priorité les gains financiers.  Le groupe lance généralement des attaques dans l’espoir de voler des crypto-monnaies à ses victimes. Avec l’augmentation du prix des crypto-actifs et la montée en popularité des jetons non fongibles (NFT), le groupe Lazarus a intensifié ses efforts pour cibler les individus et les organisations du secteur financier, selon les chercheurs de Kaspersky GReAT.

Les acteurs de la menace ont utilisé une porte dérobée entièrement fonctionnelle

Les chercheurs de Kaspersky ont également noté que les acteurs de la menace ont utilisé une porte dérobée entièrement fonctionnelle pour mener à bien leurs actions et pénétrer dans les systèmes des victimes. L’application DeFi trojanisée portait une date de compilation de novembre 2021, tout en ajoutant une porte dérobée complète à exécuter sur le système.

Les chercheurs ont également déclaré que le logiciel malveillant diffusé de cette manière possède des capacités invasives complètes qui lui permettent de mener toutes sortes d’activités sur l’ordinateur ou le périphérique de la victime.

Les fonctions supplémentaires du logiciel malveillant comprennent la collecte d’informations sur le système, notamment l’architecture du processeur de l’ordinateur, le système d’exploitation, ainsi que le nom IP. Il collecte également des informations sur les types de lecteurs et l’espace libre disponible et télécharge des fichiers pour le serveur C2. Le logiciel malveillant est également capable d’obtenir une liste des fichiers stockés dans un emplacement spécifique.

Kaspersky et South Korean CERT ont désactivé certains domaines

La collaboration entre South Korean CERT et les chercheurs de Kaspersky a donné des résultats positifs puisqu’ils ont réussi à détruire certains des domaines utilisés dans la campagne. Ils ont également analysé et comparé les scripts C2 afin de mieux comprendre les capacités des hackers et leurs méthodes de piratage.

Leurs conclusions ont montré qu’il existe des chevauchements avec d’autres opérations menées par des acteurs de menaces liés à la Corée du Nord.

Lazarus est un terme générique utilisé pour désigner toutes les activités menaçantes provenant d’acteurs Nord-Coréens parrainés par l’État. Il convient également de noter qu’il existe différents groupes de menaces relevant de différents gouvernements ou institutions de la cellule de renseignement du pays. Ensemble, les différents groupes ont compromis les serveurs de plusieurs organisations et institutions.