Posté le mars 24, 2023 à 7:27
DES HACKERS NORD-CORÉENS INFILTRENT DES PARTICULIERS ET DES ENTREPRISES AU MOYEN D’ATTAQUES INFORMATIQUES SOPHISTIQUÉES
Les hackers Nord-Coréens sont connus pour infiltrer les particuliers et les entreprises au moyen d’attaques informatiques sophistiquées. L’Office fédéral Allemand pour la protection de la Constitution et le Service national de renseignement de la République de Corée (NIS) ont publié une déclaration selon laquelle des acteurs Nord-Coréens utilisent des extensions Chrome pour pirater les e-mails Gmail de leurs cibles.
Des hackers Nord-Coréens utilisent des extensions Chrome pour voler des courriels Gmail
Le groupe de hackers Nord-Coréens accusé de cette activité malveillante est connu sous le nom de Kimsuky. Le groupe est également connu sous d’autres noms, tels que Thallium et Velvet Chollima. Le groupe utilise généralement des campagnes de spear-phishing pour mener des attaques de cyber-espionnage contre des parties sensibles telles que des agences gouvernementales, des diplomates, des politiciens, des journalistes et des professeurs d’université.
Les attaques malveillantes lancées par ce groupe d’acteurs de la menace visaient initialement des cibles en Corée du Sud. Cependant, les hackers ont étendu leurs opérations au fil du temps et ont commencé à cibler des entités basées en Europe et aux États-Unis.
Les deux agences ont publié un avis de sécurité commun qui met en garde contre les dangers liés aux activités menées par le groupe de hackers. L’avis précise que les hackers ont utilisé une extension Chrome malveillante et des applications Android.
La campagne de piratage actuelle vise des personnes basées en Corée du Sud. Toutefois, les techniques employées par les hackers peuvent être utilisées pour mener des campagnes de piratage à l’échelle mondiale. Il est donc important que les organisations qui traitent des informations cruciales soient conscientes de la menace qui pèse sur elles.
Les hackers commencent leur attaque en envoyant un email de spear-phishing à la victime. L’attaquant utilise cet e-mail pour inciter la victime à installer une extension Chrome malveillante. L’extension sera également installée dans les navigateurs basés sur Chromium tels que Brave et Microsoft Edge.
L’extension utilisée pour attirer les cibles est connue sous le nom de « AF ». L’extension apparaît dans la liste des extensions du navigateur de l’utilisateur lorsqu’il tape « (chrome/edge/brave://extensions) dans la barre d’adresse du navigateur. Cette action infectera par la suite le navigateur en question.
Une fois que la victime a visité Gmail à l’aide du navigateur infecté, l’extension est automatiquement activée afin d’intercepter et de voler le contenu des e-mails de la victime. L’extension du navigateur abuse également de l’API Devtools (API des outils de développement) au sein du navigateur.
Lorsque le hacker termine ces actions, il peut envoyer les données volées au serveur relais de l’attaquant. L’attaquant a également réussi à s’infiltrer dans le système de la cible sans être détecté. Leur technique leur permet d’envoyer des e-mails Gmail à la vapeur sans contourner les protections de sécurité du compte et de déclencher un exploit.
Ce n’est pas la première fois que le groupe de hackers Kimsuky utilise des extensions Chrome malveillantes pour mener ses campagnes de piratage et voler des emails Gmail dans les systèmes violés. En juillet de l’année dernière, Volexity a publié un rapport sur une campagne similaire qui utilisait une extension connue sous le nom de « SHARPEXT ».
En décembre 2018, un rapport de Netscout a noté que le groupe de hackers Kimsuky a utilisé la même stratégie pour cibler les professionnels du secteur académique. Les hackers de Kimsuky ont utilisé les hashs des fichiers malveillants dans ce type d’exploit.
Les hackers Nord-Coréens utilisent des logiciels malveillants Android
Le groupe de hackers Kimsuky a utilisé des logiciels malveillants Android pour réaliser des exploits. Le logiciel malveillant Android utilisé par les hackers est connu sous le nom de « FastViewer ». Il est également connu sous d’autres noms, tels que Fastfire et Fastspy DEX.
Ce logiciel malveillant existe depuis octobre 2022 après avoir été vu en train d’essayer d’infiltrer des appareils en se faisant passer pour un plugin de sécurité. Selon un rapport de la société de cybersécurité AhnLab, les auteurs de la menace ont mis à jour FastViewer en décembre de l’année dernière afin de pouvoir continuer à l’utiliser sans être détectés.
L’attaque du logiciel malveillant commence par la connexion des hackers de Kimsuky au compte Google de la victime. Les hackers ont précédemment volé l’accès à ce compte Google en envoyant des emails de phishing ou par d’autres techniques. Les hackers exploitent ensuite la fonctionnalité de synchronisation web-to-phone du Google Play Store.
L’application malveillante que les attaquants demandent à Google Play d’installer sur l’appareil de la victime est soumise au site des développeurs de la console Google Play, où elle est utilisée à des fins de « tests internes uniquement ». L’appareil de la victime est ensuite utilisé comme cible de test.
Cette technique fonctionne généralement pour les infections à grande échelle. Cependant, elle cible furtivement les victimes et peut exister sur un appareil sans être détectée. Le logiciel malveillant Android est classé comme un outil de Troie d’accès à distance (RAT) qui permet aux hackers de déposer, créer, supprimer et voler des fichiers. L’outil est utilisé pour accéder aux listes de contacts, passer des appels et envoyer des messages SMS.
Le groupe de hackers Kimsuky a constamment fait évoluer ses tactiques d’attaque pour développer des méthodes plus sophistiquées afin de compromettre les comptes Gmail, les individus et les organisations. Il est donc nécessaire de rester vigilant et de veiller à ce que de telles attaques soient évitées à l’avenir en mettant en place des mesures de sécurité robustes.
