Des chercheurs découvrent le groupe d’acteurs menaçants nord-coréens TA406 ciblant des diplomates

  • Français


  • Des chercheurs en sécurité ont découvert une campagne de cyberespionnage liée à des acteurs nord-coréens, ciblant des experts en politique étrangère, des journalistes et des organisations non gouvernementales (ONG). Selon un rapport de recherche sur les cybermenaces de Proofpoint, les acteurs nord-coréens ciblent principalement des individus d’Amérique du Nord, de Russie et de Chine. Suivi comme Acteur menaçant 406 (TA406), la campagne aurait volé les informations d’identification des utilisateurs et des données financières sensibles à des responsables de haut niveau, des agents des forces de l’ordre et des experts en économie et en finance.

    Les agresseurs ont ciblé les victimes en se faisant passer pour des diplomates et universitaires russes, des représentants du ministère des Affaires étrangères de la Fédération de Russie, des responsables des droits humains ou des individus coréens. TA406 a également ciblé des individus et des organisations liés à la crypto-monnaie à des fins de gain financier.

    TA406 en bref

    • L’acteur de menace aligné sur la Corée du Nord TA406 a mené de fréquentes campagnes de vol d’informations d’identification ciblant la recherche, l’éducation, le gouvernement, les médias et d’autres organisations en 2021
    • Proofpoint considère TA406 comme l’un des nombreux acteurs qui composent l’activité publiquement suivie comme Kimsuky, Thallium et Konni Group.
    • TA406 n’utilise généralement pas de logiciels malveillants dans les campagnes. Cependant, deux campagnes notables de 2021 attribuées à ce groupe ont tenté de diffuser des logiciels malveillants pouvant être utilisés pour la collecte d’informations.

    Un nom – trois groupes

    Proofpoint a déclaré que les campagnes TA406 ciblaient les utilisateurs depuis 2018 et ont augmenté leurs activités de menace à partir de janvier 2021. Il a été constaté que TA406 est également associé au groupe d’acteurs de menace Kimsuky. TA406 fonctionne généralement comme trois acteurs de menace distincts :TA406, TA408, et TA427 l’utilisation de logiciels malveillants et de collecte d’informations d’identification dans des campagnes d’espionnage et de collecte d’informations. Les opérateurs TA406 et TA427 sont chargés de mener des campagnes de phishing.

    « TA406 utilise sa propre infrastructure enregistrée et contrôlée pour héberger des pages Web de capture d’informations d’identification et des documents malveillants, ainsi qu’un nombre limité de sites Web légitimes et compromis en tant qu’infrastructure. TA406 utilise Gmail, Yandex et Mail[.]ru des comptes de messagerie se faisant passer pour des entités gouvernementales ou à but non lucratif légitimes pour distribuer des leurres. TA406 utilise également des outils d’envoi de messages personnalisés tels que Star et un outil PHPMailer basé sur PHP. TA406 utilise des URL dans les e-mails de phishing liés au service de livraison d’e-mails SendGrid qui redirige vers un domaine contrôlé par un attaquant hébergeant la charge utile malveillante ou une page de collecte d’informations d’identification. SendGrid est une plate-forme de marketing par e-mail utilisée à des fins commerciales légitimes et est souvent autorisée à contourner les filtres de sécurité des e-mails ; de nombreux acteurs de la menace utilisent ce type de comportement de redirection pour sembler légitime », a déclaré Proofpoint.

    Les acteurs nord-coréens continuent d’évoluer

    Les acteurs parrainés par l’État de Corée du Nord continuent de cibler des organisations critiques dans le monde entier. Récemment, des experts en sécurité de Kaspersky ont découvert deux dernières campagnes d’attaque de la chaîne d’approvisionnement du groupe de piratage nord-coréen – Lazarus. Les attaquants ont obtenu l’accès au réseau d’un fournisseur de logiciels de sécurité sud-coréen pour exploiter le logiciel d’entreprise et un fournisseur de produits de surveillance des actifs informatiques basé en Lettonie en déployant les portes dérobées Blindingcan et Copperhedge.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *