Des chercheurs en sécurité ciblés par de nouveaux logiciels malveillants via des offres d’emploi sur LinkedIn
Trois nouvelles familles de logiciels malveillants spécialisés sont diffusées par une cellule de pirates informatiques présumés nord-coréens sous la forme d’offres d’emploi destinées à des chercheurs en sécurité et à des groupes de médias aux États-Unis et en Europe.
Les attaquants attirent leurs cibles dans une conversation WhatsApp par le biais de l’ingénierie sociale, à partir de laquelle ils téléchargent la charge utile malveillante “PlankWalk”, une porte dérobée C++ qui leur permet d’infiltrer l’environnement professionnel de la cible.
Mandiant, qui surveille cet effort spécifique depuis juin 2022, affirme que cette activité coïncide avec l’opération “Dream Job”, attribuée au groupe nord-coréen Lazarus.
Cependant, Mandiant a constaté suffisamment de variations dans les outils, l’infrastructure et les TTP (tactiques, méthodes et procédures) utilisés pour placer cette campagne sous la responsabilité d’un autre groupe qu’il surveille sous le nom de “UNC2970”
Les attaquants utilisent également des logiciels malveillants inédits portant les noms de “TOUCHMOVE”, “SIDESHOW” et “TOUCHSHIFT”, qui n’ont été liés à aucun groupe de menace connu.
Selon Mandiant, ce groupe spécifique a déjà ciblé des organisations médiatiques, des sociétés Internet et des entreprises du secteur de la défense. Sa campagne la plus récente montre qu’il a modifié ses capacités et élargi son champ d’action.
L’hameçonnage pour s’implanter
Les pirates approchent leurs cibles sur LinkedIn et se font passer pour des recruteurs avant de lancer leur attaque. Ils sont finalement passés à WhatsApp pour poursuivre le processus de “recrutement”, en partageant un document Word contenant des macros malveillantes.
Selon Mandiant, ces documents Word peuvent parfois être modifiés pour correspondre aux descriptions de poste auxquelles les cibles sont promues. Par exemple, comme illustré ci-dessous, l’un des leurres distribués par Mandiant se fait passer pour le New York Times.
La version trojanisée de TightVNC est récupérée par les macros du document Word à l’aide d’une injection de modèle à distance à partir de sites web WordPress infectés qui servent de serveurs de commande et de contrôle à l’attaquant.
Cette version personnalisée de TightVNC est repérée par Mandiant sous le nom de “LidShift”
Une fois exécutée, elle utilise l’injection de DLL par réflexion pour charger un plugin Trojanized Notepad++, une DLL chiffrée, dans la mémoire du système.
Le fichier chargé est un téléchargeur de logiciels malveillants appelé “LidShot”, qui énumère le système et lance la dernière charge utile, “PlankWalk”, sur l’appareil compromis.
Se déguiser en fichiers Windows
Les pirates nord-coréens utilisent “TouchShift”, un tout nouveau dropper de logiciels malveillants propriétaire qui se fait passer pour un véritable programme Windows, au cours de la phase de post-exploitation (mscoree.dll ou netplwix.dll).
Ensuite, TouchShift charge un nouveau chargeur appelé “TouchMove”, une nouvelle porte dérobée appelée “SideShow”, un enregistreur de frappe appelé “TouchKey”, un tunnelier appelé “HookShot”, un nouvel outil de capture d’écran appelé “TouchShot”, et bien d’autres choses encore.
La nouvelle porte dérobée personnalisée SideShow, qui prend en charge un total de 49 commandes, est la plus intrigante du groupe. Ces commandes permettent à un pirate de créer de nouvelles tâches programmées, d’exécuter davantage de charges utiles, de modifier le registre, de changer les paramètres du pare-feu et d’exécuter un code arbitraire sur l’appareil compromis.
On a vu des acteurs de la menace exploiter Microsoft Intune pour propager le virus “CloudBurst” dans certains cas où les organisations ciblées n’utilisaient pas de VPN.
L’objectif de cet outil, qui se présente également comme un fichier Windows légal appelé “mscoree.dll”, est de procéder à l’énumération du système.
Désactivation des outils EDR par un jour zéro
Mandiant a publié un second rapport qui se concentre sur la stratégie “bring your own vulnerable driver” (BYOVD) utilisée par UNC2970 dans son attaque la plus récente.
En examinant les journaux des systèmes piratés, les analystes de Mandiant ont détecté des pilotes étranges et un fichier DLL bizarre (“_SB SMBUS SDK.dll”).
Un examen plus approfondi a conduit les chercheurs à la conclusion que ce second fichier, “Share.DAT”, un dropper en mémoire identifié comme “LightShift”, était la source de ces fichiers.
Le dropper charge la charge utile obscurcie “LightShow”, qui profite de la faiblesse du pilote pour exécuter des opérations arbitraires de lecture et d’écriture sur la mémoire du noyau.
Afin d’aider les envahisseurs à éviter d’être détectés, la charge utile modifie les fonctions du noyau utilisées par le logiciel EDR (Endpoint Detection and Response).
Il est intéressant de noter que le pilote utilisé dans cette opération est un pilote ASUS (“Driver7.sys”) qui, au moment de la découverte de Mandiant, n’était pas connu pour être sensible ; les pirates nord-coréens ont donc tiré parti d’une vulnérabilité de type “zero-day”.
La vulnérabilité a reçu l’identifiant CVE-2022-42455 après que Mandiant l’a signalée à ASUS en octobre 2022, et le fabricant l’a corrigée au moyen d’un correctif mis à disposition sept jours plus tard.
Les pirates nord-coréens ont déjà ciblé des chercheurs en sécurité impliqués dans le développement de vulnérabilités et d’exploits en créant de faux personnages sur les médias sociaux qui prétendaient être des chercheurs en vulnérabilités.
Ensuite, afin de discuter d’une éventuelle collaboration en matière de recherche sur les vulnérabilités, ces personnages entraient en contact avec d’autres chercheurs en sécurité.
Après avoir pris contact avec un chercheur, les pirates ont transmis des projets Visual Studio malveillants et des fichiers MHTML exploitant un jour zéro d’Internet Explorer.
Afin d’obtenir un accès à distance aux ordinateurs, les pirates ont utilisé ces deux moyens pour installer des logiciels malveillants sur les appareils des chercheurs ciblés.
French 
Italian 