« `html
Nouvelle campagne de cyberespionnage par Kimsuky
Un groupe de hackers lié à la Corée du Nord, connu sous le nom de Kimsuky, a été récemment connecté à une attaque de social engineering sophistiquée utilisant de faux comptes Facebook pour distribuer des malwares.
Selon un rapport publié la semaine dernière par Genians, une société sud-coréenne de cybersécurité, le groupe a créé un compte Facebook avec une identité fictive se faisant passer pour un fonctionnaire public travaillant dans le domaine des droits de l’homme en Corée du Nord.
Cette campagne multi-étapes cible principalement les activistes travaillant dans les secteurs des droits de l’homme en Corée du Nord et des mouvements anti-régime nord-coréen.
À la différence des méthodes traditionnelles de phishing par email, cette stratégie innovante utilise la plateforme de médias sociaux pour atteindre les victimes à travers Facebook Messenger, les incitant à ouvrir des documents semblant privés et sécurisés.
Technique d’attaque et implications
Les documents leurres, hébergés sur OneDrive, prennent la forme de fichiers MSC déguisés en essais ou contenus relatifs à un sommet trilatéral entre le Japon, la Corée du Sud et les États-Unis.
Par exemple, des documents comme « My_Essay(prof).msc » ou « NZZ_Interview_Kohei Yamamoto.msc » sont utilisés pour tromper les cibles.
Une analyse sur VirusTotal a révélé que l’un de ces fichiers a été téléchargé depuis le Japon le 5 avril 2024, suggérant une cible précise dans ce pays et en Corée du Sud.
L’utilisation de fichiers MSC, rarement inspectés par les solutions de sécurité, permet à Kimsuky de passer sous les radars.
Ces fichiers sont déguisés avec l’icône de Microsoft Word pour augmenter les chances de succès de l’infection.
Lorsqu’une victime ouvre le fichier MSC et donne son consentement pour l’exécuter via la console de gestion Microsoft (MMC), elle voit s’afficher un document Word.
Cependant, la vraie attaque se déroule en arrière-plan.
L’ouverture du fichier déclenche une série d’actions pour établir une connexion avec un serveur contrôlé par l’attaquant.
Un document hébergé sur Google Drive intitulé « Essay on Resolution of Korean Forced Labor Claims.docx » est alors affiché, tandis que d’autres instructions sont exécutées pour implanter une persistance sur le système et collecter des informations telles que l’état de la batterie et les processus en cours.
Les informations récoltées sont ensuite envoyées à un serveur de commande et contrôle (C2), capable de récupérer des adresses IP, des chaînes User-Agent et des horodatages à partir des requêtes HTTP.
Le serveur peut également livrer des charges utiles supplémentaires si nécessaire.
Analyse et recommandations
Genians a noté que certaines des techniques utilisées dans cette campagne rappellent des activités passées de Kimsuky, comme la distribution de malwares tels que ReconShark.
Selon la société SentinelOne, le phishing ciblé était la méthode d’attaque la plus courante des groupes APT en Corée du Sud au premier trimestre de cette année.
La nature personnalisée et un à un de ces attaques par social media rendent leur détection difficile pour les systèmes de surveillance de sécurité et rarement rapportée, même si la victime en est consciente.
Par conséquent, il est crucial de détecter ces menaces personnalisées le plus tôt possible.
Cette nouvelle campagne de Kimsuky souligne l’importance de la vigilance en matière de cybersécurité.
Les individus et les organisations doivent se méfier des interactions en ligne, même sur des plateformes de médias sociaux réputées.
Des mesures de sécurité robustes, telles que l’authentification multifactorielle et la formation continue en cybersécurité, sont essentielles pour protéger contre ces menaces sophistiquées.
En conclusion, cette campagne de cyberespionnage par Kimsuky représente une évolution dans les méthodes d’attaque cybernétique.
En utilisant les réseaux sociaux pour cibler des activistes avec des documents infectés, les hackers parviennent à contourner les systèmes de sécurité traditionnels.
Il est donc impératif de rester constamment vigilant et informé sur les nouvelles menaces pour mieux se protéger et protéger les informations sensibles.
La dimension cyber des faux profils : un risque insidieux
Cette nouvelle campagne de cyberespionnage initiée par Kimsuky pose un risque notable en matière de cybersécurité, notamment pour les individus et organisations œuvrant dans des domaines sensibles comme les droits de l’homme.
Le fait d’utiliser de faux profils Facebook pour distribuer des malwares via des documents MSC hébergés sur OneDrive crée un vecteur d’attaque sophistiqué et difficile à détecter.
L’impact potentiel pour une entreprise ou une personne visée inclut la compromission de données sensibles, l’espionnage prolongé, et la possibilité de charges utiles supplémentaires injectées pour accéder à un réseau plus vaste.
L’exploitation de vulnérabilités dans les comportements humains, combinée à une utilisation innovante de canaux de communication populaires, accentue la menace latente de ce type de cyberattaque.
Prévention et protection contre les infiltrations sophistiquées
Pour se prémunir contre ce type de risque, il est essentiel d’adopter une série de mesures de cybersécurité adaptées.
La formation continue du personnel pour reconnaître les signes de social engineering et les techniques de phishing sur des plateformes de médias sociaux est primordiale.
L’authentification multifactorielle (MFA) doit être mise en place pour tous les comptes utilisateurs afin de limiter les accès non autorisés.
De plus, inclure des solutions de sécurité capables de détecter des fichiers MSC malveillants et surveiller les communications réseau pour identifier les communications suspectes avec des serveurs C2 peut considérablement réduire les risques.
Enfin, entretenir une veille technologique permet de rester à jour face à l’évolution des menaces.
« `
