NACHOCHEESE
Le groupe de piratage le plus connu en provenance de Corée du Nord s’appelle APT38 (Advanced Persistent Threat). Ils sont également connus sous le pseudonyme de Lazarus et sont actifs depuis un certain temps. Le groupe de piratage APT38 travaille pour le gouvernement nord-coréen et ses efforts sont concentrés sur la promotion des intérêts nord-coréens à l'échelle mondiale. La plupart des groupes de piratage qui sont embauchés par les gouvernements ont tendance à opérer de manière plutôt conservatrice et veillent à ne pas causer de dommages inutiles au système de la cible. Cependant, le groupe APT38 ne s'intéresse pas à de telles précautions et peut parfois détruire complètement un système infiltré, ce qui n’a aucune importance pour lui. Certains des membres de l'APT38 sont même recherchés par le FBI américain.
Prend la ligne de commande du système
La menace NACHOCHEESE fait partie de l'arsenal d'outils de piratage de l'APT38. Même si elle ne fait pas partie des menaces les plus complexes, elle peut s'avérer être un outil essentiel dans une campagne. Ce logiciel malveillant est un outil de piratage en ligne de commande, que le groupe APT38 installerait sur un système compromis en tant que charge utile de deuxième étape. Le malware NACHOCHEESE permet aux attaquants d’exécuter des commandes à distance sur l’hôte infecté en prenant le contrôle de la ligne de commande du système.
APT38 tente de piéger les chercheurs
Une caractéristique intéressante de la menace NACHOCHEESE est que certaines parties de son code sont écrites en russe très pauvre. Il est probable que l'APT38 a tenté de confondre les experts en cybersécurité et de les induire en erreur en leur faisant croire que la porte dérobée NACHOCHEESE provenait de la Russie et non de la Corée du Nord. C’est un thème récurrent lorsqu’il s’agit de menaces créées par l’APT38. Dans les campagnes précédentes, les chercheurs en programmes malveillants ont découvert des lignes de leur code en chinois, russe et iranien. Une autre astuce que l’APT38 aime à faire est de déployer une menace distincte, facilement détectable, sur l’hôte compromis. Cela peut aider le NACHOCHEESE à rester inaperçu plus longtemps.
Étant donné que l'APT38 est financé par le gouvernement, leurs activités menaçantes se poursuivront probablement à l'avenir, et nous continuerons probablement à voir de nouvelles menaces créées par ce groupe de piratage notoire.
