L'armée numérique nord-coréenne a une nouvelle cible : Bitcoin ! Un aperçu de leur dernière opération, toujours active...

Ils sont connus dans le darknet underground sous le nom de "The Lazarus Group", mais des sources de renseignement disent qu'ils sont l'armée numérique de la Corée du Nord. Vous avez peut-être déjà entendu le nom dans le tristement célèbre piratage de Sony Pictures en 2014.

Mais leur dernière opération a une nouvelle cible - la crypto-monnaie, et a été découverte par la société de cybersécurité Secureworks.

L'attaque se concentre sur les cadres des sociétés financières qui détiennent et gèrent les crypto-monnaies, et cela fonctionne comme ceci - un cadre reçoit un e-mail, qui indique qu'il y a une opportunité de gravir les échelons et de devenir le directeur financier de l'entreprise.

Il y a une pièce jointe sous la forme d'un fichier Microsoft Word. Lorsqu'ils sont ouverts, ils reçoivent une notification "l'édition doit être activée pour afficher le document" et lorsque l'utilisateur clique sur "ok", il lance un script intégré qui fait 2 choses.

Tout d'abord, il crée puis ouvre un document inoffensif - une description de travail réelle pour distraire l'utilisateur et ne pas le méfier.

Deuxièmement, lance secrètement l'instillation d'un virus cheval de Troie.

Le document de description de poste à l'air inoffensif (Image : Secureworks)

Le virus est conçu pour donner un accès à distance complet aux pirates. L'ordinateur est maintenant entièrement sous leur contrôle - ils peuvent enregistrer ce qui est tapé, voir ce qui est à l'écran et même installer plus de logiciels malveillants s'ils le souhaitent.

Alors que les chevaux de Troie d'accès à distance ne sont pas nouveaux et peuvent même être achetés et vendus sur des forums darknet souterrains, ce qui ressort de celui-ci, c'est qu'il ne semble pas être une variante des chevaux de Troie connus auparavant - celui-ci semble avoir été fraîchement codé à partir de zéro .

En évaluant le code, Secureworks Counter Threat Unit a reconnu quelque chose des précédentes opérations nord-coréennes - c'est une forte dépendance au protocole C2, que The Lazarus Group a utilisé dans le passé pour communiquer avec ses principaux serveurs de commande et de contrôle.

Les premières découvertes de cette nouvelle attaque ont commencé en octobre, et se poursuivent aujourd'hui.

Il est recommandé à ceux qui pensent qu'ils pourraient être la cible de telles attaques de s'assurer que les macros sont désactivées dans Microsoft Word et d'exiger une authentification à deux facteurs sur les systèmes contenant des données sensibles.

-------
Auteur : Ross Davis
Bureau des nouvelles de San Francisco