APT37 lance une campagne RokRAT basée sur Facebook
Le groupe de hackers parrainé par l'État nord-coréen APT37, également connu sous le nom de ScarCruft, a lancé une campagne sophistiquée d'ingénierie sociale ciblant les victimes via Facebook. L'attaque commence par la création de faux profils par les acteurs de la menace et l'envoi de demandes d'amis à des cibles soigneusement sélectionnées, établissant la confiance avant de déployer le cheval de Troie d'accès à distance RokRAT.
La campagne représente une évolution significative des tactiques d'APT37, allant au-delà des e-mails de spear-phishing traditionnels pour exploiter les plateformes de médias sociaux pour un accès initial. Les chercheurs en sécurité ont découvert l'opération après avoir analysé des modèles d'activité suspecte sur Facebook et des échantillons de logiciels malveillants présentant des caractéristiques cohérentes avec les campagnes précédentes d'APT37.
APT37 opère depuis au moins 2012, ciblant principalement les entités gouvernementales sud-coréennes, les sous-traitants de la défense et les journalistes. Le groupe est connu pour ses capacités de menace persistante avancée et a précédemment utilisé des familles de logiciels malveillants personnalisés, y compris DOGCALL, KARAE et POORAIM. Cette dernière campagne démontre l'adaptation continue du groupe aux vecteurs d'attaque modernes et leur volonté d'exploiter les plateformes de médias sociaux pour des opérations de collecte de renseignements.
Le mécanisme de livraison basé sur Facebook permet à APT37 de contourner les contrôles de sécurité des e-mails traditionnels tout en tirant parti de la confiance inhérente que les utilisateurs placent dans les connexions sur les réseaux sociaux. Une fois que les cibles acceptent les demandes d'amis, les attaquants peuvent recueillir des renseignements supplémentaires sur leurs victimes grâce aux informations de profil, aux connexions et au contenu partagé avant de lancer la prochaine phase de leur attaque.
Profil cible et portée géographique
La campagne cible principalement des individus en Corée du Sud, en particulier ceux travaillant dans les agences gouvernementales, les sous-traitants de la défense et les organisations médiatiques. Les schémas de ciblage historiques d'APT37 suggèrent que le groupe se concentre sur les entités possédant des renseignements de valeur stratégique pour les intérêts nord-coréens, y compris le personnel diplomatique, les sous-traitants militaires et les journalistes d'investigation couvrant les affaires nord-coréennes.
Les chercheurs en sécurité ont identifié plusieurs faux profils Facebook utilisés dans la campagne, chacun soigneusement conçu pour paraître légitime et pertinent pour les cibles visées. Ces profils imitent souvent des journalistes, des chercheurs ou des professionnels dans des domaines liés aux affaires de la péninsule coréenne. Les attaquants investissent un temps considérable à construire des personnalités en ligne crédibles, y compris en publiant du contenu pertinent et en établissant des connexions avec d'autres utilisateurs pour renforcer l'authenticité de leurs profils.
La portée géographique s'étend au-delà de la Corée du Sud pour inclure les communautés de la diaspora coréenne et les organisations internationales impliquées dans les questions de sécurité de la péninsule coréenne. Les cibles peuvent inclure des chercheurs de think tanks, des institutions académiques étudiant les affaires nord-coréennes et du personnel diplomatique international stationné dans la région. La portée de la campagne suggère un effort coordonné de collecte de renseignements visant à recueillir des informations sur les politiques gouvernementales sud-coréennes, les capacités de défense et les initiatives diplomatiques internationales liées à la Corée du Nord.
Déploiement de RokRAT et analyse technique
Une fois que les cibles acceptent les demandes d'amis sur Facebook, les opérateurs d'APT37 engagent des conversations prolongées pour établir la confiance et recueillir des renseignements sur les environnements de travail de leurs victimes et leurs pratiques de sécurité. Les attaquants livrent ensuite RokRAT par divers moyens, y compris des liens malveillants partagés via Facebook Messenger ou des adresses e-mail obtenues par des interactions sur les réseaux sociaux.
RokRAT est un cheval de Troie d'accès à distance sophistiqué qui offre à APT37 un contrôle complet sur les systèmes infectés. Le logiciel malveillant inclut des capacités d'exfiltration de fichiers, de capture d'écran, de keylogging et d'exécution de commandes à distance. Les variantes récentes ont incorporé des techniques anti-analyse et des canaux de communication chiffrés pour échapper à la détection par les outils de sécurité. Le cheval de Troie peut également télécharger des charges utiles supplémentaires, permettant aux attaquants de déployer des outils spécialisés en fonction de la valeur spécifique des systèmes compromis.
Les organisations peuvent se protéger contre cette campagne en mettant en œuvre des politiques strictes sur les réseaux sociaux pour les employés manipulant des informations sensibles, en menant régulièrement des formations de sensibilisation à la sécurité axées sur les tactiques d'ingénierie sociale et en déployant des solutions de détection et de réponse aux points de terminaison capables d'identifier les indicateurs de RokRAT. Les administrateurs réseau devraient surveiller les connexions sortantes suspectes vers l'infrastructure de commande et de contrôle connue d'APT37 et mettre en œuvre une liste blanche d'applications pour empêcher les fichiers exécutables non autorisés de s'exécuter sur les systèmes critiques.
Le catalogue des vulnérabilités exploitées connues de la CISA fournit un contexte supplémentaire sur les tactiques des acteurs de la menace nord-coréens, tandis que le Microsoft Security Response Center offre des conseils sur la sécurisation des environnements Windows contre les menaces persistantes avancées. Les équipes de sécurité devraient également envisager de mettre en œuvre des outils de surveillance des réseaux sociaux pour détecter les faux profils tentant de se connecter avec le personnel de l'organisation et établir des protocoles clairs pour vérifier l'identité des nouvelles connexions sur les réseaux sociaux, en particulier pour les employés ayant accès à des informations sensibles.
