SLOWDRIFT

Le gouvernement nord-coréen n'hésite pas à recourir à des groupes de piratage informatique pour répondre à leurs attentes sur la scène internationale. On sait qu'ils travaillent avec le tristement célèbre groupe de piratage informatique Lazarus depuis des années. Ce dernier a mené de nombreuses attaques visant à promouvoir les intérêts politiques de la Corée du Nord. Récemment, ils ont commencé à travailler avec un autre groupe de piratage informatique - ScarCruft. Le groupe ScarCruft est aussi connu sous le nm de APT37 (Advanced Persistent Threat). Ils ont mené des attaques contre des cibles du Moyen-Orient, mais la plupart de leurs victimes se trouvent en Corée du Sud. Le groupe de piratage ScarCruft ne cible pas les utilisateurs quotidiens - leurs efforts sont concentrés sur des personnes occupant des postes prestigieux ou qui font partie dans de grandes organisations.

Méthode de Propagation

Habituellement, le groupe de piratage ScarCruft utilise des campagnes par courrier électronique pour propager ses outils de piratage. Plus spécifiquement, ils veillent à ce que les courriels qu’ils envoient à leurs cibles soient aussi crédibles et légitimes que possible. Ces courriels auraient un document en pièce jointe, qui est susceptible d'être macro. Le but du message contenu dans l'e-mail est de convaincre l'utilisateur d'exécuter la pièce jointe apparemment inoffensive. C’est ainsi que l’utilisateur donnera le feu vert à la charge utile non sécurisée stockée dans la pièce jointe corrompue.

Capacité de Collecter des Informations et d'Installer des Logiciels Malveillants Supplémentaires

La menace SLOWDRIFT, en particulier, peut être classée comme téléchargeur de chevaux de Troie. Cet outil de piratage est destiné à infiltrer l'hôte et à commencer à collecter des informations sur le système. Les données que SLOWDRIFT poursuit sont des informations générales sur le matériel et le logiciel de l’hôte infecté. Ensuite, les données en question seront transférées aux opérateurs du cheval de Troie SLOWDRIFT. Cela aide le groupe de piratage ScarCruft à déterminer comment poursuivre l'attaque et, plus précisément, lequel de ses autres outils de piratage serait le plus approprié pour le déploiement en tant que charge utile de deuxième étape. Le téléchargeur de chevaux de Troie SLOWDRIFT sert de passerelle pour permettre aux attaquants d’imposer une menace plus grave au système compromis. Les experts en cybersécurité ont déterminé que, jusqu'à présent, le groupe de piratage ScarCruft avait utilisé SLOWDRIFT pour installer ZUMKONG sur les ordinateurs ciblés.

Le groupe APT37 est une étoile montante dans le monde obscur des escrocs informatiques. S'ils continuent à améliorer leurs outils et leurs techniques, ils pourraient bientôt être considérés au niveau de leurs concitoyens nord-coréens travaillant dans le même secteur, le tristement célèbre groupe de piratage Lazarus.