Parmi les meilleures pratiques pour la protection de la sécurité des comptes en général (et de Gmail en particulier), le renforcement de vos identifiants de connexion et l'activation de la vérification en deux étapes figurent en tête de liste. Pourtant, des chercheurs en sécurité ont trouvé des preuves qu'un groupe d'attaquants, probablement parrainé par un État, aurait trouvé un moyen de contourner ces protections sans compromettre les identifiants de connexion.Selon la société de cybersécurité Volexity, son équipe de recherche sur les menaces a découvert que le groupe nord-coréen SharpTongue, qui semble faire partie du groupe de menaces persistantes avancées Kimsuky ou y être lié, déploie un logiciel malveillant appelé SHARPEXT qui n'a pas besoin des identifiants de connexion à votre compte Gmail.
Au lieu de cela, il « inspecte et exfiltre directement les données » d'un compte Gmail lorsque la victime le parcourt. Cette menace en évolution rapide, qui est déjà en version 3.0 selon le versioning interne du malware consulté par Volexity, peut voler les e-mails des comptes de messagerie Web Gmail et AOL, et fonctionne sur trois navigateurs : Google Chrome, Microsoft Edge et un client sud-coréen appelé Whale.
Noms de processus pris en charge dans la version 3.0 de SHARPEXT indiquant les navigateurs pris en charge pour le déploiement d'extensions
Les deux premiers navigateurs sont couramment utilisés dans le monde, mais le troisième navigateur, "Whale", est moins connu. Whale est développé par Naver, une société située en Corée du Sud ; il est utilisé presque exclusivement par des personnes de Corée du Sud. Les trois navigateurs sont basés sur le moteur Chromium, donc cette prise en charge supplémentaire n'a probablement pas nécessité de développement supplémentaire substantiel de la part de l'attaquant.
Envoyé par Volexity
Volexity suit une variété d'acteurs malveillants pour fournir des informations uniques et des informations exploitables à ses clients Threat Intelligence. L'un d'eux fréquemment rencontré, qui aboutit souvent à des enquêtes numériques sur des systèmes compromis, est suivi par Volexity sous le nom de SharpTongue. On pense que cet acteur est d'origine nord-coréenne et est souvent désigné publiquement sous le nom de Kimsuky. La définition du rayon de l'activité malveillante de Kimsuky est un sujet de débat parmi les analystes du renseignement sur les menaces. Certaines publications font référence à l'activité malveillante nord-coréenne sous le nom de Kimsuky que Volexity suit sous d'autres noms de groupe et ne renvoie pas à SharpTongue. Volexity observe fréquemment que SharpTongue cible et victimise des personnes travaillant pour des organisations aux États-Unis, en Europe et en Corée du Sud qui travaillent sur des sujets impliquant la Corée du Nord, les questions nucléaires, les systèmes d'armes et d'autres questions d'intérêt stratégique pour la Corée du Nord.
L'ensemble d'outils de SharpTongue est bien documenté dans les sources publiques ; le dernier article en anglais couvrant cet ensemble d'outils a été publié par Huntress en 2021. La liste des outils et techniques décrits dans cet article est cohérente avec ce que Volexity a couramment vu depuis des années. Cependant, en septembre 2021, Volexity a commencé à observer une famille de logiciels malveillants intéressante et non documentée utilisée par SharpTongue. Au cours de la dernière année, Volexity a répondu à de multiples incidents impliquant SharpTongue et, dans la plupart des cas, a découvert une extension malveillante de Google Chrome ou Microsoft Edge que Volexity appelle "SHARPEXT".
SHARPEXT diffère des extensions précédemment documentées utilisées par l'acteur "Kimsuky", en ce qu'il n'essaie pas de voler les noms d'utilisateur et les mots de passe. Au lieu de cela, le logiciel malveillant inspecte et exfiltre directement les données du compte de messagerie Web d'une victime lorsqu'elle le parcourt. Depuis sa découverte, l'extension a évolué et en est actuellement à la version 3.0, basée sur le système de versioning interne. Il prend en charge trois navigateurs Web et le vol de courrier à partir de la messagerie Web Gmail et AOL.
L'ensemble d'outils de SharpTongue est bien documenté dans les sources publiques ; le dernier article en anglais couvrant cet ensemble d'outils a été publié par Huntress en 2021. La liste des outils et techniques décrits dans cet article est cohérente avec ce que Volexity a couramment vu depuis des années. Cependant, en septembre 2021, Volexity a commencé à observer une famille de logiciels malveillants intéressante et non documentée utilisée par SharpTongue. Au cours de la dernière année, Volexity a répondu à de multiples incidents impliquant SharpTongue et, dans la plupart des cas, a découvert une extension malveillante de Google Chrome ou Microsoft Edge que Volexity appelle "SHARPEXT".
SHARPEXT diffère des extensions précédemment documentées utilisées par l'acteur "Kimsuky", en ce qu'il n'essaie pas de voler les noms d'utilisateur et les mots de passe. Au lieu de cela, le logiciel malveillant inspecte et exfiltre directement les données du compte de messagerie Web d'une victime lorsqu'elle le parcourt. Depuis sa découverte, l'extension a évolué et en est actuellement à la version 3.0, basée sur le système de versioning interne. Il prend en charge trois navigateurs Web et le vol de courrier à partir de la messagerie Web Gmail et AOL.
| Données HTTP POST | Description |
| mode=list | Répertorie les e-mails précédemment collectés auprès de la victime pour s'assurer que les doublons ne sont pas téléchargés. Cette liste est continuellement mise à jour au fur et à mesure de l'exécution de SHARPEXT. |
| mode=domain | Liste les domaines de messagerie avec lesquels la victime a déjà communiqué. Cette liste est continuellement mise à jour au fur et à mesure de l'exécution de SHARPEXT. |
| mode=black | Collecte une liste noire des expéditeurs d'e-mails qui doivent être ignorés lors de la collecte des e-mails de la victime. |
| mode=newD&d=[data] | Ajoute un domaine à la liste de tous les domaines consultés par la victime. |
| mode=attach&name=[data]&idx=[data]&body=[data] | Télécharge une nouvelle pièce jointe sur le serveur distant. |
| mode=new&mid=[data]&mbody=[data] | Télécharge les données Gmail sur le serveur distant. |
| mode=attlist | Commenté par l'attaquant ; reçoit une liste de pièces jointes à exfiltrer. |
| mode=new_aol&mid=[data]&mbody=[data] | Télécharge les données AOL sur le serveur distant. |
Selon la CISA, les pirates de Kimsuky sont « probablement mandatés par le régime nord-coréen »
L'Agence américaine de cybersécurité et de sécurité des infrastructures, CISA (pour Cybersecurity & Infrastructure Security Agency), rapporte que Kimsuky opère depuis 2012 et est « très probablement chargé par le régime nord-coréen d'une mission mondiale de collecte de renseignements ».
Alors que CISA voit Kimsuky cibler le plus souvent des individus et des organisations en Corée du Sud, au Japon et aux États-Unis, Volexity affirme que le groupe SharpTongue a souvent été vu ciblant la Corée du Sud, les États-Unis et l'Europe....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
