Microsoft met en garde contre une quipe nord-corenne de cybercriminels se faisant passer pour des recruteurs de LinkedIn Pour distribuer des versions vroles de progiciels open source

Le groupe parrain par l'tat existe depuis 2009 et aurait t l'origine de l'attaque de 2014 contre Sony Pictures en reprsailles la comdie controverse de Seth Rogen, The Interview.

Surnomms "ZINC", les acteurs malveillants ont dj men des programmes de phishing long terme ciblant les mdias, la dfense et l'arospatiale, ainsi que les organisations de services informatiques aux tats-Unis, au Royaume-Uni, en Inde et en Russie.

Depuis juin de cette anne, ZINC s'est appuy sur des tactiques d'ingnierie sociale*: contacter des cibles sur LinkedIn et prtendre tre un recruteur, tablir la confiance avec les cibles et basculer les communications vers WhatsApp o ils ont livr le shellcode de la famille de logiciels malveillants ZetaNile. Les charges utiles taient soit emballes avec des implants logiciels commerciaux comme Themida et VMProtect, soit chiffres avec des algorithmes personnaliss, qui sont dchiffrs l'aide d'une cl personnalise dans la DLL.

En encodant les informations sur la victime dans les paramtres de mots cls courants tels que gametype ou bbs dans les HTTP POST, ces communications C2 peuvent se fondre dans le trafic lgitime , dplore Microsoft.

Le logiciel open source comprenait PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le programme d'installation du logiciel muPDF/Subliminal Recording. Une fois sur place, les pirates utilisent des outils d'accs distance personnaliss tels que FoggyBrass et PhantomStar. Microsoft a dclar que le but des attaques semble tre le cyberespionnage ordinaire et les tentatives de vol d'argent ou de donnes, ou simplement le sabotage du rseau d'entreprise.

Envoy par Microsoft

Ces derniers mois, Microsoft a dtect un large ventail de campagnes d'ingnierie sociale utilisant un logiciel open source lgitime arm par un acteur que nous suivons sous le nom de ZINC. Microsoft Threat Intelligence Center (MSTIC) a observ une activit ciblant les employs d'organisations de plusieurs secteurs, notamment les mdias, la dfense et l'arospatiale, ainsi que les services informatiques aux tats-Unis, au Royaume-Uni, en Inde et en Russie. Sur la base de l'artisanat, de l'infrastructure, de l'outillage et des affiliations de compte observs, MSTIC attribue cette campagne avec une grande confiance ZINC, un groupe parrain par l'tat bas en Core du Nord avec des objectifs axs sur l'espionnage, le vol de donnes, le gain financier et la destruction du rseau.

Depuis juin 2022, ZINC a utilis des tactiques d'ingnierie sociale traditionnelles en se connectant initialement avec des individus sur LinkedIn pour tablir un niveau de confiance avec leurs cibles. Une fois la connexion russie, ZINC a encourag la communication continue sur WhatsApp, qui a agi comme moyen de livraison pour leurs charges utiles malveillantes.

MSTIC a observ ZINC armant une large gamme de logiciels open source, notamment PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le programme d'installation de logiciels muPDF/Subliminal Recording pour ces attaques. ZINC a t observ tentant de se dplacer latralement sur le rseau des entreprises et d'exfiltrer les informations recueillies auprs des rseaux de victimes. Les acteurs ont russi compromettre de nombreuses organisations depuis juin 2022. La campagne en cours lie au PuTTY arm a galement t signale par Mandiant au dbut du mois. En raison de la large utilisation des plateformes et des logiciels que ZINC utilise dans cette campagne, ZINC pourrait constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et rgions(...)

Comme pour toute activit d'acteur tatique observe, Microsoft informe directement les clients qui ont t cibls ou compromis, en leur fournissant les informations dont ils ont besoin pour scuriser leurs comptes.

Diagramme de flux d'attaque pour la rcente campagne ZINC

Usurpation d'identit et prise de contact

LinkedIn Threat Prevention and Defense a dtect que ZINC crait de faux profils prtendant tre des recruteurs travaillant dans des entreprises de technologie, de dfense et de divertissement mdiatique, dans le but d'encourager les cibles avoir des changes loin de LinkedIn, en particulier vers l'application de messagerie chiffre WhatsApp pour la livraison de logiciels malveillants. ZINC ciblait principalement les ingnieurs et les professionnels du support technique travaillant dans des socits de mdias et de technologies de l'information situes au Royaume-Uni, en Inde et aux tats-Unis. Les cibles ont reu une sensibilisation adapte leur profession ou leurs antcdents et ont t encourages postuler pour un poste vacant dans l'une des nombreuses entreprises lgitimes. Conformment leurs politiques, pour les comptes identifis dans ces attaques, LinkedIn a rapidement rsili tous les comptes associs un comportement inauthentique ou frauduleux.

Profil recruteur frauduleux

MSTIC a observ au moins cinq mthodes d'applications open source trojanises contenant la charge utile et le shellcode malveillants qui sont suivis comme la famille de logiciels malveillants ZetaNile.

Armement des clients SSH

Une fois qu'ils ont tabli une connexion avec leur cible, ZINC a oprationnalis des versions malveillantes de deux clients SSH, PuTTY et KiTTY, qui ont agi comme vecteur d'entre pour l'implant ZetaNile. Les deux utilitaires fournissent un support d'mulateur de terminal pour diffrents protocoles de rseau, ce qui en fait des programmes attrayants pour les personnes couramment cibles par ZINC. Les versions armes taient souvent livres sous forme d'archives ZIP compresses ou de fichiers ISO. Dans cette archive, le destinataire reoit un fichier ReadMe.txt et un fichier excutable excuter.

Si le groupe existe depuis 2009, pourquoi en parler maintenant ?

En raison de la large utilisation des plateformes et des logiciels que ZINC utilise dans cette campagne, ZINC pourrait constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et rgions , a dclar Microsoft.

L'quipe de prvention et de dfense contre les menaces de LinkedIn a dtect que ZINC crait de faux profils et ciblait des ingnieurs et des professionnels du support technique dans le pass, et lorsqu'ils le faisaient, ils les fermaient. Cependant, l'ducation des utilisateurs finaux peut grandement contribuer la protection des informations personnelles et professionnelles.

Voici quelques conseils prodigus par Microsoft :

• Utilisez les indicateurs de compromission inclus pour dterminer s'ils existent dans votre environnement et valuer les intrusions potentielles.
• Bloquez le trafic entrant provenant des adresses*IP spcifies dans le tableau "Indicateurs de compromission".
• Passez en revue toutes les activits d'authentification pour l'infrastructure d'accs distance, avec un accent particulier sur les comptes configurs avec une authentification facteur unique, pour confirmer l'authenticit et enquter sur toute activit anormale.
• Activez l'authentification multifacteur (MFA) pour attnuer les informations d'identification potentiellement compromises et assurez-vous que la MFA est applique pour toute la connectivit distance. REMARQUE : Microsoft encourage fortement tous les clients tlcharger et utiliser des solutions sans mot de passe telles que Microsoft Authenticator pour scuriser vos comptes.
• duquez les utilisateurs finaux sur la prvention des infections par des logiciels malveillants, notamment en ignorant ou en supprimant les e-mails non sollicits et inattendus avec des pices jointes ISO. Encouragez les utilisateurs finaux pratiquer une bonne hygine des informations d'identification - limitez l'utilisation des comptes avec des privilges d'administrateur local ou de domaine et activez le pare-feu Microsoft Defender pour empcher l'infection par des logiciels malveillants et touffer la propagation.
• duquez les utilisateurs finaux sur la protection des informations personnelles et professionnelles sur les rseaux sociaux, le filtrage des communications non sollicites, l'identification des leurres dans les e-mails de harponnage et les trous d'eau, et le signalement des tentatives de reconnaissance et d'autres activits suspectes.

Et vous ?

Quelle lecture faites-vous de cette situation ?

Voir aussi :

Sony Pictures victime d'une attaque informatique. Les pirates ont publi certaines donnes sensibles aprs un chantage