Devis de remise multi-licences
Sécurité informatique Des pirates informatiques nord-coréens déploient une...

Des pirates informatiques nord-coréens déploient une nouvelle porte dérobée VeilShell dans le cadre d'attaques furtives en Asie du Sud-Est

Par Mura en Sécurité informatique
Se traduisent par :
Français

Des groupes de cyberespionnage nord-coréens ont été repérés en train d'utiliser un nouveau malware de type backdoor appelé VeilShell pour lancer des cyberattaques furtives en Asie du Sud-Est. Des experts en sécurité ont lié cette activité à APT37 , un groupe de pirates informatiques notoire opérant sous de multiples pseudonymes, tels qu'InkySquid, Reaper, RedEyes et ScarCruft. En lien avec le ministère de la Sécurité d'État nord-coréen, APT37 est actif depuis 2012 et est connu pour ses campagnes informatiques sophistiquées ciblant les secteurs gouvernementaux et les entreprises.

La campagne SHROUDED#SLEEP

Les chercheurs en sécurité ont baptisé cette dernière opération SHROUDED#SLEEP, un nom approprié pour la furtivité et la patience dont font preuve ces cybercriminels. Le groupe mènerait cette campagne en ciblant spécifiquement le Cambodge et d'autres pays d'Asie du Sud-Est. En exploitant VeilShell, un cheval de Troie d'accès à distance (RAT) , les attaquants cherchent à prendre le contrôle total des machines compromises, avec la possibilité d'exfiltrer des données, de manipuler les registres système et de planifier des tâches de manière secrète.

Comment fonctionne VeilShell ?

L'un des aspects les plus marquants de cette attaque est la manière dont VeilShell pénètre dans les systèmes ciblés. Bien que l'on ne sache pas encore comment la charge utile initiale est transmise, les experts soupçonnent le groupe d'utiliser des e-mails de spear-phishing, une méthode très ciblée pour inciter les individus à cliquer sur des liens malveillants ou à télécharger des fichiers infectés. La charge utile de la première étape est probablement transmise via une archive ZIP contenant un fichier de raccourci Windows (LNK).

Une fois que l'utilisateur sans méfiance lance le fichier LNK, il déclenche une séquence d'actions. Un code PowerShell (un langage de script couramment utilisé dans les environnements Windows) s'exécute en arrière-plan, extrayant d'autres composants cachés dans le fichier. Pour éviter d'éveiller les soupçons, l'attaque distrait l'utilisateur avec un document d'apparence innocente, tel qu'un fichier Microsoft Excel ou PDF, pendant qu'elle installe les composants malveillants les plus dangereux en arrière-plan.

La véritable menace vient du fichier DomainManager.dll, un fichier malveillant placé stratégiquement dans le dossier de démarrage de Windows, où il assure sa persistance en s'exécutant à chaque redémarrage du système. Ce fichier communique avec un serveur de commande et de contrôle (C2) distant, ce qui donne aux attaquants le contrôle de l'appareil infecté. À partir de là, ils peuvent espionner des fichiers, télécharger des données sensibles, télécharger d'autres outils malveillants et même supprimer ou renommer des fichiers pour couvrir leurs traces.

L'injection AppDomainManager : une technique sournoise

Ce qui distingue cette attaque des autres cyberattaques est l’utilisation astucieuse d’une technique appelée injection AppDomainManager. Bien que cela puisse paraître complexe, cette méthode permet essentiellement aux attaquants d’exécuter du code malveillant à chaque fois qu’un programme légitime est lancé, sans déclencher d’alarme. Cette tactique a été récemment employée par un autre groupe de hackers allié à la Chine, ce qui indique que cette technique gagne en popularité parmi les cybercriminels du monde entier.

Le jeu à long terme : comment APT37 échappe à la détection

L'une des raisons pour lesquelles cette campagne est passée inaperçue pendant si longtemps est la patience des pirates. Après avoir déployé VeilShell avec succès, ils ne l'activent pas immédiatement. Au lieu de cela, le malware reste inactif jusqu'au redémarrage du système. Cette activation retardée, combinée à de longs temps de veille (pauses d'exécution), rend le malware plus difficile à détecter par les outils de sécurité traditionnels. Ces techniques aident les pirates à éviter d'être détectés pendant de longues périodes, ce qui leur permet de recueillir des renseignements et de garder le contrôle sur les systèmes compromis.

Conséquences et menaces futures

Cette découverte récente renforce les inquiétudes grandissantes concernant les capacités informatiques de la Corée du Nord. Des groupes comme APT37, Lazarus et Kimsuky ont tous été liés à des cyberattaques sponsorisées par l'État visant à l'espionnage , au profit financier et au sabotage. Avec l'utilisation croissante d'outils sophistiqués comme VeilShell, ces groupes représentent une menace importante pour le paysage mondial de la cybersécurité.

Les experts préviennent que cette campagne pourrait facilement s’étendre au-delà de l’Asie du Sud-Est, car les groupes de pirates nord-coréens ont pour habitude de cibler plusieurs régions, notamment les États-Unis et l’Europe. En fait, quelques jours avant la découverte de VeilShell, un autre groupe nord-coréen connu sous le nom d’Andariel a lancé des attaques contre des organisations américaines dans le cadre d’une campagne à motivation financière.

Protection contre VeilShell et les menaces similaires

Pour les organisations et les particuliers, cela souligne l’importance de rester vigilant face aux tentatives de spear-phishing et de veiller à ce que tous les systèmes soient régulièrement mis à jour avec les derniers correctifs de sécurité. Voici quelques conseils pour réduire le risque de telles attaques :

  1. Méfiez-vous des e-mails inattendus : si vous recevez un e-mail contenant une pièce jointe ou un lien que vous n'attendiez pas, réfléchissez-y à deux fois avant de cliquer dessus.
  2. Maintenez les logiciels à jour : la mise à jour régulière des systèmes d’exploitation et des applications peut aider à combler les failles de sécurité exploitées par les attaquants.
  • Utilisez un logiciel antivirus : bien qu’il ne soit pas infaillible, un bon programme antivirus peut détecter et bloquer de nombreuses menaces courantes.
  • Activer l'authentification à deux facteurs (2FA) : l'ajout d'une couche de sécurité supplémentaire rend l'accès plus difficile pour les attaquants, même s'ils volent votre mot de passe.

    • En conclusion, le malware VeilShell et la campagne SHROUDED#SLEEP sont des rappels crus de l’évolution constante des menaces dans le monde de la cybersécurité. En restant prudents et en adoptant des mesures de sécurité proactives, les particuliers et les entreprises peuvent garder une longueur d’avance sur ces acteurs dangereux.

    Chargement...