ESET DÉCOUVRE DES ATTAQUES PAR COMPROMISSION DE LA MESSAGERIE EN ENTREPRISE PAR LES HACKERS D’ÉTAT NORD-CORÉENS

Posté le juin 18, 2020 à 13:51

ESET DÉCOUVRE DES ATTAQUES PAR COMPROMISSION DE LA MESSAGERIE EN ENTREPRISE PAR LES HACKERS D’ÉTAT NORD-CORÉENS

Les chercheurs d’ESET ont rapporté que des hackers nord-coréens parrainés par l’État tentaient de voler l’argent des victimes de leurs précédentes cyber-attaques à des fins de cyber-espionnage.

Le fabricant slovaque d’antivirus a signalé cette tentative de cyber-espionnage mardi lors de la conférence sur la sécurité du monde virtuel d’ESET. L’équipe de recherche a révélé que l’opération a été perpétrée par le groupe de hackers parrainé par le gouvernement de Pyongyang.

La campagne de piratage, dont le nom de code est « Operation In(ter)ception », a été mise en place principalement pour le vol financier et le cyber-espionnage.

La tentative d’espionnage serait menée par le groupe Lazarus

ESET a révélé cette évolution récente à des milliers de spectateurs lors de l’événement diffusé en direct. Jean-Ian Boutin, l’un des chercheurs en sécurité d’ESET, a souligné que l’attaque a été orchestrée par des membres du groupe de hackers connu sous le nom de groupe Lazarus, le très connu groupe de hackers sponsorisé par le gouvernement coréen pour pirater les agences gouvernementales étrangères et les grandes entreprises. Le groupe fait également partie de l’unité de renseignement de la Corée du Nord.

Les attaques ont visé les entreprises militaires et l’industrie aérospatiale européenne

Boutin a révélé que les hackers de Lazarus visaient l’industrie aérospatiale européenne et les entreprises fabriquant des armes militaires. Il a décrit comment les hackers ont approché leurs cibles en utilisant des messages privés et des profils de recruteurs de postes sur LinkedIn. Ils attirent l’attention de la cible en se déguisant en entreprise menant un entretien d’embauche. Les cibles ont été invitées à ouvrir des archives et à consulter certains dossiers qui contiendraient des informations sur l’entreprise et sur leurs salaires une fois qu’elles sont employées.

Mais en réalité, selon M. Boutin, les fichiers ont été infectés par un logiciel malveillant qui donne aux hackers un accès initial au système de la victime pour de futures attaques.

Le chercheur d’ESET a également révélé qu’après que les hackers aient infecté l’ordinateur de la victime, ils concluaient le processus d’interview et informaient la victime que l’interview n’avait pas réussi. Ensuite, ils suppriment complètement leur profil LinkedIn en une seule fois.

Cependant, le hacker poursuivrait ses opérations sur le système de l’utilisateur en se basant sur les fichiers infectés. Ils se répandent dans l’ordinateur de la victime à la recherche de plus d’informations et de données.

Les chercheurs d’ESET ont déclaré avoir découvert que les attaquants interrogeaient le serveur Active Directory (AD) pour obtenir les comptes des administrateurs et des informations sur les autres employés. L’objectif était d’effectuer par la suite des attaques par force brute sur le compte de l’administrateur.

 Selon ESET, l’attaque semble avoir eu lieu entre septembre et décembre de l’année dernière, d’après l' »Operation In(ter)ception » qu’ils ont trouvée.

En général, les cibles comprenaient les employés travaillant dans les entreprises militaires et dans l’industrie aérospatiale européenne, car la plupart d’entre eux se sont vu proposer des emplois fictifs dans des entreprises plus prestigieuses.

Tentatives d’attaque par compromission de messagerie en entreprise

M. Boutin a rappelé que même après avoir recueilli les données et les renseignements exclusifs qu’ils souhaitent obtenir de la société cible, ils continueraient à lancer d’autres attaques et intrusions. Habituellement, les autres hackers effacent leurs empreintes pour éviter d’être repérés, mais ils tentent ensuite de tromper les partenaires commerciaux de l’entreprise infectée.

 Boutin a également révélé que le groupe de hackers piraterait les boîtes de réception des sociétés piratées pour accéder à leurs factures impayées. Ils agissent ensuite sur les factures, trompant le client pour qu’il envoie le paiement à la facture, bien qu’à un numéro de compte différent qu’ils fournissent.

« Ils ont suivi la conversation et ont exhorté le client à payer la facture, cependant, sur un compte bancaire différent de celui convenu précédemment », a déclaré l’équipe de recherche d’ESET.

Summary
ESET DÉCOUVRE DES ATTAQUES PAR COMPROMISSION DE LA MESSAGERIE EN ENTREPRISE PAR LES HACKERS D'ÉTAT NORD-CORÉENS
Article Name
ESET DÉCOUVRE DES ATTAQUES PAR COMPROMISSION DE LA MESSAGERIE EN ENTREPRISE PAR LES HACKERS D'ÉTAT NORD-CORÉENS
Description
Les chercheurs d'ESET ont rapporté que des hackers nord-coréens parrainés par l'État tentaient de voler l'argent des victimes de leurs précédentes cyber-attaques à des fins de cyber-espionnage.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Koddos

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

Articles Populaires

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Août 28, 2023
1,2 MILLION DE CLIENTS DE MOM’S MEALS ONT ÉTÉ TOUCHÉS PAR LA RÉCENTE VIOLATION DE DONNÉES
Août 23, 2023
DES ESPIONS ET DES HACKERS ÉTRANGERS CIBLENT L’INDUSTRIE SPATIALE AMÉRICAINE
Août 23, 2023
LES DÉVELOPPEURS DE TERRA FERMENT LEUR SITE WEB À LA SUITE D’UNE CAMPAGNE D’HAMEÇONNAGE

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading