Microsoft a affirmé qu'une équipe nord-coréenne se faisait passer pour des recruteurs de LinkedIn pour distribuer des versions vérolées de progiciels open source.Le groupe parrainé par l'État existe depuis 2009 et aurait été à l'origine de l'attaque de 2014 contre Sony Pictures en représailles à la comédie controversée de Seth Rogen, The Interview.
Surnommés "ZINC", les acteurs malveillants ont déjà mené des programmes de phishing à long terme ciblant les médias, la défense et l'aérospatiale, ainsi que les organisations de services informatiques aux États-Unis, au Royaume-Uni, en Inde et en Russie.
Depuis juin de cette année, ZINC s'est appuyé sur des tactiques d'ingénierie sociale*: contacter des cibles sur LinkedIn et prétendre être un recruteur, établir la confiance avec les cibles et basculer les communications vers WhatsApp où ils ont livré le shellcode de la famille de logiciels malveillants ZetaNile. Les charges utiles étaient soit emballées avec des implants logiciels commerciaux comme Themida et VMProtect, soit chiffrées avec des algorithmes personnalisés, qui sont déchiffrés à l'aide d'une clé personnalisée dans la DLL.
« En encodant les informations sur la victime dans les paramètres de mots clés courants tels que gametype ou bbs dans les HTTP POST, ces communications C2 peuvent se fondre dans le trafic légitime », déplore Microsoft.
Le logiciel open source comprenait PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le programme d'installation du logiciel muPDF/Subliminal Recording. Une fois sur place, les pirates utilisent des outils d'accès à distance personnalisés tels que FoggyBrass et PhantomStar. Microsoft a déclaré que le but des attaques semble être le cyberespionnage ordinaire et les tentatives de vol d'argent ou de données, ou simplement le sabotage du réseau d'entreprise.
Envoyé par Microsoft
Ces derniers mois, Microsoft a détecté un large éventail de campagnes d'ingénierie sociale utilisant un logiciel open source légitime armé par un acteur que nous suivons sous le nom de ZINC. Microsoft Threat Intelligence Center (MSTIC) a observé une activité ciblant les employés d'organisations de plusieurs secteurs, notamment les médias, la défense et l'aérospatiale, ainsi que les services informatiques aux États-Unis, au Royaume-Uni, en Inde et en Russie. Sur la base de l'artisanat, de l'infrastructure, de l'outillage et des affiliations de compte observés, MSTIC attribue cette campagne avec une grande confiance à ZINC, un groupe parrainé par l'État basé en Corée du Nord avec des objectifs axés sur l'espionnage, le vol de données, le gain financier et la destruction du réseau.
Depuis juin 2022, ZINC a utilisé des tactiques d'ingénierie sociale traditionnelles en se connectant initialement avec des individus sur LinkedIn pour établir un niveau de confiance avec leurs cibles. Une fois la connexion réussie, ZINC a encouragé la communication continue sur WhatsApp, qui a agi comme moyen de livraison pour leurs charges utiles malveillantes.
MSTIC a observé ZINC armant une large gamme de logiciels open source, notamment PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le programme d'installation de logiciels muPDF/Subliminal Recording pour ces attaques. ZINC a été observé tentant de se déplacer latéralement sur le réseau des entreprises et d'exfiltrer les informations recueillies auprès des réseaux de victimes. Les acteurs ont réussi à compromettre de nombreuses organisations depuis juin 2022. La campagne en cours liée au PuTTY armé a également été signalée par Mandiant au début du mois. En raison de la large utilisation des plateformes et des logiciels que ZINC utilise dans cette campagne, ZINC pourrait constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et régions(...)
Comme pour toute activité d'acteur étatique observée, Microsoft informe directement les clients qui ont été ciblés ou compromis, en leur fournissant les informations dont ils ont besoin pour sécuriser leurs comptes.
Depuis juin 2022, ZINC a utilisé des tactiques d'ingénierie sociale traditionnelles en se connectant initialement avec des individus sur LinkedIn pour établir un niveau de confiance avec leurs cibles. Une fois la connexion réussie, ZINC a encouragé la communication continue sur WhatsApp, qui a agi comme moyen de livraison pour leurs charges utiles malveillantes.
MSTIC a observé ZINC armant une large gamme de logiciels open source, notamment PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le programme d'installation de logiciels muPDF/Subliminal Recording pour ces attaques. ZINC a été observé tentant de se déplacer latéralement sur le réseau des entreprises et d'exfiltrer les informations recueillies auprès des réseaux de victimes. Les acteurs ont réussi à compromettre de nombreuses organisations depuis juin 2022. La campagne en cours liée au PuTTY armé a également été signalée par Mandiant au début du mois. En raison de la large utilisation des plateformes et des logiciels que ZINC utilise dans cette campagne, ZINC pourrait constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et régions(...)
Comme pour toute activité d'acteur étatique observée, Microsoft informe directement les clients qui ont été ciblés ou compromis, en leur fournissant les informations dont ils ont besoin pour sécuriser leurs comptes.
Diagramme de flux d'attaque pour la récente campagne ZINC
Activité des acteurs observée
Usurpation d'identité et prise de contact
LinkedIn Threat Prevention and Defense a détecté que ZINC créait de faux profils prétendant être des recruteurs travaillant dans des entreprises de technologie, de défense et de divertissement médiatique, dans le but d'encourager les cibles à avoir des échanges loin de LinkedIn, en particulier vers l'application de messagerie chiffrée WhatsApp pour la livraison de logiciels malveillants. ZINC ciblait principalement les ingénieurs et les professionnels du support technique travaillant dans des sociétés de médias et de technologies de l'information situées au Royaume-Uni, en Inde et aux États-Unis. Les cibles ont reçu une sensibilisation adaptée à leur profession ou à leurs antécédents et ont été encouragées à postuler pour un poste vacant dans l'une des nombreuses entreprises légitimes. Conformément à leurs politiques, pour les comptes identifiés dans ces attaques, LinkedIn a rapidement résilié tous les comptes associés à un comportement inauthentique ou frauduleux.
Profil recruteur frauduleux
Plusieurs méthodes utilisées pour la livraison de ZetaNile
MSTIC a observé au moins cinq méthodes d'applications open source trojanisées contenant la charge utile et le shellcode malveillants qui sont suivis comme la famille de logiciels malveillants ZetaNile.
Armement des clients SSH
Une fois qu'ils ont établi une connexion avec leur cible, ZINC a rendu opérationnelles des versions malveillantes de deux clients SSH, PuTTY et KiTTY, qui ont agi comme vecteur d'entrée pour l'implant ZetaNile. Les deux utilitaires fournissent un support d'émulateur de terminal pour différents protocoles de réseau, ce qui en fait des programmes attrayants pour les personnes couramment ciblées par ZINC. Les versions armées étaient souvent livrées sous forme d'archives ZIP compressées ou de fichiers ISO. Dans cette archive, le destinataire reçoit un fichier ReadMe.txt et un fichier exécutable à exécuter.
Si le groupe existe depuis 2009, pourquoi en parler maintenant ?
« En raison de la large utilisation des plateformes et des logiciels que ZINC utilise dans cette campagne, ZINC pourrait constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et régions », a déclaré Microsoft.
L'équipe de prévention et de défense contre les menaces de LinkedIn a détecté que ZINC créait de faux profils et ciblait des ingénieurs et des professionnels du support technique dans le passé, et lorsqu'ils le faisaient, ils les fermaient. Cependant, l'éducation des utilisateurs finaux peut grandement contribuer à la protection des informations personnelles et professionnelles.
Voici quelques conseils prodigués par Microsoft :
- Utilisez les indicateurs de compromission inclus pour déterminer s'ils existent dans votre environnement et évaluer les intrusions potentielles.
- Bloquez le trafic entrant provenant des adresses*IP spécifiées dans le tableau "Indicateurs de compromission".
- Passez en revue toutes les activités d'authentification pour l'infrastructure d'accès à distance, avec un accent particulier sur les comptes configurés avec une authentification à facteur unique, pour confirmer l'authenticité et enquêter sur toute activité anormale.
- Activez l'authentification multifacteur (MFA) pour atténuer les informations d'identification potentiellement compromises et assurez-vous que la MFA est appliquée pour toute la connectivité à distance. REMARQUE : Microsoft encourage fortement tous les clients à télécharger et à utiliser des solutions sans mot de passe telles que Microsoft Authenticator pour sécuriser vos comptes.
- Éduquez les utilisateurs finaux sur la prévention des infections par des logiciels malveillants, notamment en ignorant ou en supprimant les e-mails non sollicités et inattendus avec des pièces jointes ISO. Encouragez les utilisateurs finaux à pratiquer une bonne hygiène des informations d'identification - limitez l'utilisation des comptes avec des privilèges d'administrateur local ou de domaine et activez le pare-feu Microsoft Defender pour empêcher l'infection par des logiciels malveillants et étouffer la propagation.
- Éduquez les utilisateurs finaux sur la protection des informations personnelles et professionnelles sur les réseaux sociaux, le filtrage des communications non sollicitées, l'identification des leurres dans les e-mails de harponnage et les trous d'eau, et le signalement des tentatives de reconnaissance et d'autres activités suspectes.
Source : Microsoft
Et vous ?
Quelle lecture faites-vous de cette situation ?Voir aussi :
Sony Pictures victime d'une attaque informatique. Les pirates ont publié certaines données sensibles après un chantage