Torisma Spyware

Le logiciel espion Torisma est un logiciel espion utilisé comme charge utile de deuxième étape dans une campagne d'attaque attribuée à des groupes de hackers nord-coréens parrainés par l'État. Les attaques se sont concentrées sur les entrepreneurs de l'aérospatiale et de la défense basés en Russie et en Inde en particulier, ainsi que sur les FAI (fournisseurs d'accès Internet) d'Australie, d'Israël et de Russie.

Avant de déployer Torisma, les pirates ont utilisé un malware de première étape pour déterminer si la victime faisait partie d'une liste d'entités particulières d'intérêt. L'implant rassemble d'abord diverses données système telles que l'adresse IP, la date, l'utilisateur, etc. et les compare avec sa liste de cibles prédéterminées. Cette tactique permet aux pirates de minimiser la présence de leurs outils malveillants sur les victimes compromises et de configurer pleinement leurs opérations sur les cibles prévues uniquement.

Lorsqu'il est lancé, le logiciel espion Torisma peut exécuter un shellcode personnalisé tout en recherchant tous les nouveaux lecteurs ajoutés au système activement ou si des connexions de bureau à distance sont initiées.

Sites Web légitimes piratés dans la campagne de distribution Torisma

Pour propager Torisma avec succès, les pirates nord-coréens ont utilisé des e-mails de spear-phishing contenant des documents armés prétendant être des offres d'emploi. Les attaquants ont abusé de sources de recrutement légitimes provenant de sites Web populaires d'entrepreneurs de la défense américains pour faire apparaître les pièces jointes corrompues aussi légitimes que possible et inciter les victimes à les exécuter. De plus, certaines opérations de Command-and-Control (C2, C&C) ont été déployées via de véritables sites Internet qui avaient été compromis. Les sites Web concernés provenaient des États-Unis ou d'Italie et appartenaient à une imprimerie, une maison de ventes aux enchères et une société de formation informatique.