Ukraine, Kyiv - 2024 October 19: Ukraine, North Korea and Russia flags on Ukraine geopolitical map. North Korea fights on Ukraine lands

Après avoir aidé la Russie sur le terrain, la Corée du Nord cible l’Ukraine avec un cyberespionnage

Lucas Morel

Un groupe de cyberespionnage lié aux militaires de la Corée du Nord a ciblé les organisations gouvernementales en Ukraine depuis février dans ce qui semble être une opération de collecte de renseignements.

L’implication de la Corée du Nord dans la guerre en Ukraine s’étend au-delà de l’envoi de soldats, de munitions et de missiles en Russie, alors que les chercheurs en cybersécurité mettent en garde contre les récentes campagnes de cyberespionnage contre les entités gouvernementales ukrainiennes par un acteur connu parrainé par l’État du Nord.

« ProofPoint évalue le TA406 cible les entités gouvernementales ukrainiennes pour mieux comprendre l’appétit pour continuer à lutter contre l’invasion russe et à évaluer les perspectives à moyen terme du conflit », ont écrit des chercheurs de la société de cybersécurité, Proofpoint, dans un rapport cette semaine.

TA406, également connu dans l’industrie de la sécurité sous le nom de Konni, Opal Sleet et Osmium, est actif depuis au moins 2014 et, ironiquement, a toujours été chargé de cibler la Russie, ainsi que la Corée du Sud. Par exemple, en janvier 2022, Konni a ciblé les diplomates russes avec des e-mails de phishing se faisant passer pour les salutations du Nouvel An.

Dans un nouveau rapport qui analyse les cyber-capacités, les groupes et les métiers de la Corée du Nord, les chercheurs de la société de gestion des risques d’initiés DTEX Systems attribuent Konni au Bureau général de reconnaissance du département général de l’armée nord-coréenne, ainsi qu’APT43 et APT45. Le groupe est connu principalement pour son rat Konni personnalisé qui peut capturer des frappes, prendre des captures d’écran et exfiltrate les données.

Imitation des analystes des groupes de réflexion

La dernière campagne contre les cibles du gouvernement en Ukraine a commencé en février et a impliqué des courriels d’une personne fictive prétendant être un membre supérieur avec un groupe de réflexion appelé Royal Institute of Strategic Studies, une entité qui n’existe pas.

L’e-mail contenait un lien vers ce qui était censé être une analyse des opinions du peuple ukrainien et des principaux politiciens sur le groupe politique ciblé. Le lien a conduit à une archive RAR protégée par mot de passe hébergée sur le service d’hébergement de fichiers Mega. Le mot de passe a été inclus dans l’e-mail.

Dans le cas où l’objectif ne cliquait pas sur le lien, les attaquants ont suivi plusieurs jours avec des e-mails supplémentaires demandant au destinataire s’ils lisent leurs e-mails précédents, une tactique destinée à exercer une pression sur la victime.

L’archive RAR contenait un fichier HTML HTML (CHM) compilé Microsoft qui comprenait plusieurs fichiers HTML empoisonnés avec des informations sur Valeriy Zaluzhnyi, l’ancien commandant en chef des forces armées ukrainiennes.

Lorsqu’il est ouvert et cliqué, la page HTML télécharge un script PowerShell qui contient des commandes pour recueillir des informations sur le système. Ces informations sont ensuite renvoyées à un serveur contrôlé par attaquant.

Le script PowerShell enregistre également le code du fichier HTML à un fichier appelé state.bat qui est copié dans le dossier Autorun du système pour atteindre la persistance et exécuter après chaque redémarrage.

Une variation de cette attaque comprenait une pièce jointe zip dans l’e-mail de phishing au lieu d’un lien. L’archive zip contenait un fichier PDF et un fichier LNK (raccourci Windows) appelé «Pourquoi Zelenskyy a licencié Zaluzhnyi». En cas d’ouverture, le fichier LNK a exécuté le code PowerShell qui a créé une tâche planifiée Windows avec la mise à jour des thèmes Windows.

Le code abandonne également un fichier JavaScript encodé (JSE) qui est exécuté par la nouvelle tâche planifiée. Ce fichier vérifie un serveur contrôlé contre l’attaquant pour un code PowerShell supplémentaire à exécuter.

Récolte d’identification

Avant les e-mails de phishing, les mêmes entités gouvernementales ukrainiennes ont été ciblées avec des alertes de courrier électronique imitant Microsoft et la réclamation d’une activité de connexion inhabituelle a été détectée sur leurs comptes. Les victimes ont été invitées à effectuer une vérification de l’identité en cliquant sur un bouton, ce qui les a amenés à des pages de récolte d’identification.

Les chercheurs de ProofPoint n’ont réussi à obtenir aucune de ces pages d’analyse, mais le même domaine avait été signalé dans le passé pour la récolte des diplômes Naver qui s’aligne sur l’activité passée TA406.

« La Corée du Nord a engagé des troupes pour aider la Russie à l’automne 2024, et TA406 recueille très probablement des renseignements pour aider les dirigeants nord-coréens à déterminer le risque actuel pour ses forces déjà au théâtre, ainsi que la probabilité que la Russie demande plus de troupes ou de brass », ont déclaré les chercheurs de points de preuve.

Voir aussi:

  • Leçons apprises sur la cyber-résilience d’une visite en Ukraine
  • Les pirates russes de l’APT28 ont redoublé les efforts pendant la guerre de l’Ukraine, dit l’agence de sécurité française

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

GitLab, GitLab Duo
Les trous non corrigés pourraient permettre la prise de contrôle des comptes Gitlab
CSO Conference & Awards
CSO Awards 2025 vitrine des stratégies de sécurité de classe mondiale
Hacking éthique: pirates de chapeau blanc vs pirates de chapeau noir
Hacking éthique: pirates de chapeau blanc vs pirates de chapeau noir