Logiciel malveillant Durian
Le groupe de menace nord-coréen Kimsuky a récemment utilisé un nouveau malware basé sur Golang nommé Durian dans des cyberopérations spécifiques ciblant deux sociétés sud-coréennes de crypto-monnaie. Durian est un malware avancé doté de capacités de porte dérobée étendues, lui permettant d'exécuter des commandes, de télécharger des fichiers et de récolter des données à partir de systèmes compromis.
Table des matières
Vecteur d'infection pour la diffusion du logiciel malveillant Durian
Les incidents ont eu lieu en août et novembre 2023 et impliquaient l’exploitation d’un logiciel légitime exclusif à la Corée du Sud comme méthode d’infection. La méthode spécifique utilisée pour exploiter ce logiciel n’est pas encore entièrement découverte par les chercheurs.
Ce que l'on comprend, c'est que ce logiciel établit une communication avec le serveur de l'attaquant, qui récupère ensuite une charge utile dangereuse pour lancer le processus d'infection. La phase initiale agit comme un programme d'installation pour d'autres logiciels malveillants et établit la persistance sur l'hôte affecté. Il facilite également le déploiement d'un chargeur malveillant qui déclenche finalement l'exécution de Durian.
Logiciels malveillants supplémentaires utilisés par des attaquants aux côtés de Durian
Les attaquants utilisent Durian pour déployer des logiciels malveillants supplémentaires, notamment AppleSeed (la porte dérobée préférée de Kimsuky), un outil proxy personnalisé nommé LazyLoad, ainsi que des outils légitimes tels que ngrok et Chrome Remote Desktop. L'objectif était de voler les données stockées dans le navigateur, telles que les cookies et les identifiants de connexion.
Un point intéressant de l'attaque est l'utilisation de LazyLoad, auparavant associé à Andariel , un sous-groupe du groupe Lazarus . Cela suggère une collaboration potentielle ou un alignement tactique entre ces acteurs menaçants.
Kimsuky reste un acteur majeur sur la scène de la cybercriminalité
Le groupe Kimsuky, actif depuis au moins 2012, est également connu sous divers pseudonymes, notamment APT43, Black Banshee, Emerald Sleet (anciennement Thallium), Springtail, TA427 et Velvet Chollima. Il semblerait qu'il opère sous l'égide du 63e Centre de recherche, une division du Bureau général de reconnaissance (RGB), la principale organisation de renseignement militaire de Corée du Nord.
Selon une alerte conjointe du Federal Bureau of Investigation (FBI) des États-Unis et de la National Security Agency (NSA), l'objectif principal de Kimsuky est de fournir des données volées et des informations géopolitiques au régime nord-coréen. Ils y parviennent en compromettant les analystes politiques et les experts. Les compromis réussis permettent aux acteurs de Kimsuky de développer des e-mails de spear phishing plus convaincants pour cibler des individus de plus grande valeur.
Kimsuky a également été associé à des campagnes impliquant un cheval de Troie d'accès à distance basé sur C# et un collecteur d'informations connu sous le nom de TutorialRAT. Ce malware utilise Dropbox comme plate-forme pour lancer des attaques, visant à échapper à la détection des menaces. Cette campagne, qui n'est pas sans rappeler la campagne de menace BabyShark d'APT43, utilise des techniques courantes de spear phishing, notamment l'utilisation de fichiers de raccourci (LNK).
