Il s’agit notamment de l’utilisation des formats de fichiers d’images de disques optiques (extension .ISO) et de disques durs virtuels (extension .VHD) dans le cadre d’une nouvelle chaîne d’infection, révèle Kaspersky dans un rapport publié aujourd’hui.
« BlueNoroff a créé de nombreux faux domaines se faisant passer pour des sociétés de capital-risque et des banques », a déclaré Seongsu Park, chercheur en sécurité, ajoutant que la nouvelle procédure d’attaque a été signalée dans sa télémétrie en septembre 2022.
Certains des faux domaines imitent ABF Capital, Angel Bridge, ANOBAKA, Bank of America et Mitsubishi UFJ Financial Group, dont la plupart sont situés au Japon, ce qui témoigne d’un « vif intérêt » pour la région.
Il convient de souligner que, bien que des contournements de MotW aient déjà été documentés dans la nature, c’est la première fois qu’ils sont intégrés par BlueNoroff dans ses intrusions contre le secteur financier.
Également connu sous les noms de APT38, Nickel Gladstone et Stardust Chollima, BlueNoroff fait partie du groupe de menaces Lazarus, qui comprend également Andariel (alias Nickel Hyatt ou Silent Chollima) et Labyrinth Chollima (alias Nickel Academy).
Les motivations financières(1) de l’acteur de la menace, par opposition à l’espionnage, en ont fait un acteur d’État-nation inhabituel dans le paysage de la menace, ce qui lui a permis d’avoir une » plus grande portée géographique » et d’infiltrer des organisations en Amérique du Nord et du Sud, en Europe, en Afrique et en Asie.
Il a depuis été associé à des cyberattaques très médiatisées visant le réseau bancaire SWIFT entre 2015 et 2016, notamment l’audacieux hold-up de la Bangladesh Bank en février 2016 qui a conduit au vol de 81 millions de dollars.
Depuis au moins 2018, BlueNoroff semble avoir subi un changement tactique, s’éloignant de la frappe des banques pour se concentrer uniquement sur les entités de crypto-monnaies afin de générer des revenus illicites.
À cette fin, Kaspersky a révélé plus tôt cette année les détails d’une campagne baptisée SnatchCrypto orchestrée par le collectif d’adversaires pour drainer les fonds numériques des portefeuilles de crypto-monnaies des victimes.
Une autre activité clé attribuée au groupe est AppleJeus, dans laquelle de fausses sociétés de crypto-monnaies sont mises en place pour inciter des victimes involontaires à installer des applications d’apparence bénigne qui finissent par recevoir des mises à jour détournées.
La dernière activité identifiée par l’entreprise russe de cybersécurité introduit de légères modifications pour transmettre sa charge utile finale, en remplaçant les pièces jointes de documents Microsoft Word par des fichiers ISO dans les courriels de harcèlement pour déclencher l’infection.
Ces fichiers d’images optiques contiennent à leur tour un diaporama Microsoft PowerPoint (.PPSX) et un script Visual Basic (VBScript) qui est exécuté lorsque la cible clique sur un lien dans le fichier PowerPoint.
Une autre méthode consiste à lancer un fichier batch Windows contenant des logiciels malveillants en exploitant un binaire « living-off-the-land » (LOLBin) pour récupérer un téléchargeur de deuxième étape utilisé pour récupérer et exécuter une charge utile à distance.
Kaspersky a également découvert un échantillon de fichier . VHD accompagné d’un fichier PDF contenant une description de poste fictive, qui est utilisé pour générer un téléchargeur intermédiaire se faisant passer pour un logiciel antivirus afin de récupérer la charge utile suivante, mais pas avant d’avoir désactivé les solutions EDR authentiques en supprimant les crochets en mode utilisateur.
Bien que l’implant exact délivré ne soit pas clair, on estime qu’il est similaire à une porte dérobée de persistance utilisée dans les attaques SnatchCrypto.
L’utilisation de noms de fichiers japonais pour l’un des documents d’appât ainsi que la création de domaines frauduleux déguisés en sociétés de capital-risque japonaises légitimes suggèrent que les entreprises financières du pays insulaire sont probablement une cible de BlueNoroff.
La cyberguerre a été l’une des principales cibles de la Corée du Nord en réponse aux sanctions économiques imposées par un certain nombre de pays et par les Nations unies en raison des inquiétudes suscitées par ses programmes nucléaires. Elle est également devenue une importante source de revenus pour ce pays à court d’argent.
En effet, selon le Service national de renseignement (NIS) de la Corée du Sud, les hackers nord-coréens parrainés par l’État auraient volé 1,2 milliard de dollars en crypto-monnaies et autres actifs numériques à des cibles du monde entier au cours des cinq dernières années.
« Ce groupe a une forte motivation financière et parvient effectivement à tirer des bénéfices de ses cyberattaques », a déclaré Park. « Cela suggère également qu’il est peu probable que les attaques de ce groupe diminuent dans un avenir proche ».
Note : L’article a été révisé pour préciser que l’utilisation du contournement MotW marque la première fois qu’une telle méthode de diffusion de logiciels malveillants a été adoptée par BlueNoroff.