La campagne a détourné des comptes Google pour abuser de la fonctionnalité Find Hub d’Android, effaçant à distance les téléphones des victimes tout en diffusant des logiciels malveillants via des contacts de confiance KakaoTalk.
Les acteurs de la menace liés à la Corée du Nord ont trouvé un nouveau moyen de militariser l’écosystème de sécurité de Google, en l’utilisant pour effacer à distance les données d’espionnage des téléphones des victimes.
Selon les conclusions du Genians Security Center (GSC), les attaquants ont exploité le service de suivi et de gestion des appareils Android « Find Hub » pour effacer à distance les données sur les téléphones et tablettes Android.
« Bien que Find Hub soit destiné à protéger les appareils Android, il s’agit du premier cas confirmé dans lequel un acteur malveillant parrainé par un État a obtenu le contrôle à distance en compromettant les comptes Google, puis a utilisé le service pour effectuer un suivi de localisation et un effacement à distance », ont déclaré les chercheurs de GSC dans un article de blog. « Ce développement démontre un risque réaliste que cette fonctionnalité puisse être utilisée de manière abusive dans les campagnes APT. »
GSC a attribué ces activités au groupe KONNI APT, connu pour être associé aux groupes Kimsuky ou APT37.
La campagne a été renforcée par l’ingénierie sociale via le populaire messager coréen KaKaoTalk, où les victimes ont reçu des applications malveillantes déguisées en programmes psychologiques de « soulagement du stress ».
De la fonction de téléphone perdue à une bombe essuyante
GSC a découvert que les attaquants avaient compromis des comptes Google légitimes pour tirer pleinement parti de la fonctionnalité de gestion à distance de Find Hub. Une fois connectés, ils pourraient suivre l’emplacement et exécuter des commandes d’effacement sur les appareils Android, supprimant ainsi efficacement les données personnelles et désactivant les canaux d’alerte normaux de l’appareil.
« Une découverte notable est qu’immédiatement après avoir confirmé via la requête de localisation de Find Hub que la victime était à l’extérieur, l’acteur malveillant a exécuté une commande de réinitialisation à distance sur les appareils de la victime », ont ajouté les chercheurs. « La réinitialisation à distance a interrompu le fonctionnement normal de l’appareil, bloquant les notifications et les alertes de message des applications de messagerie et coupant effectivement le canal de sensibilisation du propriétaire du compte, retardant ainsi la détection et la réponse. »
En coupant l’appareil, l’attaquant crée une fenêtre silencieuse pour une propagation et un contrôle ultérieurs.
Le blog explique que l’accès initial a été obtenu grâce à des courriels de spear phishing se faisant passer pour le Service national des impôts (NTS) de Corée du Sud. Les victimes ont reçu un e-mail avec une pièce jointe qui, une fois exécutée, installait des scripts malveillants (basés sur Autolt) ou supprimait un RAT pour voler les informations d’identification Google.
« Pour éviter tout abus non autorisé des fonctionnalités d’effacement à distance via des comptes Google compromis, les fournisseurs de services devraient examiner et mettre en œuvre des mesures de vérification de sécurité en temps réel, telles que des processus d’authentification supplémentaires qui confirment le propriétaire légitime de l’appareil », ont recommandé les chercheurs.
Le lien de l’ingénierie sociale
La menace continue au-delà de l’effacement des appareils, les attaquants distribuant des logiciels malveillants en compromettant les comptes KakaoTalk de contacts de confiance.
GSC a découvert que des fichiers malveillants déguisés en « programmes de soulagement du stress » étaient envoyés à des contacts proches via la messagerie. « Parmi les victimes se trouvait un conseiller psychologique professionnel qui soutient les jeunes transfuges nord-coréens pendant leur réinstallation en abordant les difficultés psychologiques et en leur fournissant des services tels que des orientations professionnelles, des conseils pédagogiques et un mentorat pour les aider à stabiliser leur bien-être », ont ajouté les chercheurs.
Tandis qu’un vecteur d’attaque utilisait la neutralisation des appareils pour désactiver les alertes, l’autre lançait la distribution de logiciels malveillants via des comptes de discussion compromis. GSC a qualifié ce mélange de sans précédent parmi les acteurs APT connus parrainés par l’État et qu’il montre la « maturité tactique et la stratégie d’évasion avancée » de l’attaquant.
Renforcer la vérification des fichiers reçus via les plateformes de messagerie avant leur ouverture et leur exécution, et utiliser des invites d’avertissement claires pour aider les utilisateurs à éviter de télécharger ou d’exécuter des fichiers malveillants, pourraient aider à lutter contre ce vecteur, note le blog. Les résultats de Genians, tout comme les récentes campagnes ClayRat et Badbox 2.0, mettent en évidence une tendance croissante des attaquants à exploiter des applications fiables et des services intégrés au lieu de s’appuyer sur des exploits complexes du jour zéro.
