Des hackers nord-coréens ciblent les diplomates

Un groupe de hackers nord-coréen cible les diplomates … sans Malware

Le groupe TA406 utilise la collecte d’informations d’identification pour cibler les diplomates et les politiciens aux États-Unis, en Russie, en Chine et en Corée du Sud. Et ces hackers ont rarement recours aux Malwares.

Les informations d’identification capturées comme outils de piratage

Un groupe de hackers nord-coréen s’est davantage concentré sur le cyberespionnage et le ciblage des diplomates et des experts régionaux. Ces pirates utilisent les informations d’identification des utilisateurs capturées pour alimenter les attaques de phishing

Ils n’ont recours que rarement à des Malwares pour persister dans les organisations ciblées. Ce groupe cible principalement les individus aux États-Unis, en Russie et en Chine. Il tente généralement de collecter discrètement des informations d’identification

Après avoir siphonné les informations, ils tentent de transformer les compromis en gains financiers. Ce groupe baptisé Threat Actor 406 (TA406) a mené des attaques hebdomadaires contre de hauts responsables juridiques, des financiers et des économistes. 

Des techniques d’attaque flexibles et persistantes

La flexibilité dans l’utilisation de divers moyens de piratage reste l’un des aspects les plus notables de TA406. Il en est de même pour la persistance à cibler les mêmes individus et organisations à plusieurs reprises. Leurs objectifs sont en constante évolution et sont basés sur les intérêts de l’État.

Les cyberattaques menées depuis la Chine et la Russie suscitent généralement le plus d’attention. Mais les experts se sont récemment concentrés sur les activités des groupes liés à l’Iran et à la Corée du Nord.

Selon la Cybersecurity and Infrastructure Security Agency (CISA), la Corée du Nord a concentré une grande partie de ses efforts sur les campagnes d’espionnage et le ciblage d’organisations à des fins lucratives. Au cœur de ces opérations, la cryptomonnaie constitue une cible courante.

Récolte des informations d’identification

Des hackers nord-coréens ciblent les diplomates

 

Les attaquants utilisent diverses plateformes de messagerie différentes. Et ce, en exécutant leurs propres systèmes basés sur des serveurs PHP comme PHPMailer et Star. Ils utilisent également les principaux fournisseurs de services comme GMail ou Yandex

Des identités volées ou synthétiques leur permettent aussi de tromper les individus ciblés. Dans certains cas, les hackers ont également utilisé des Malwares pour gagner en persistance dans un environnement particulier. En 2021, les campagnes de Malware représentaient moins de 10 % de l’activité globale attribuée au TA406.

Les attaquants se concentrent de plus en plus sur la collecte d’informations d’identification. Ils tirent parti du fait que de plus en plus d’employés travaillent à domicile, accèdent aux services Cloud et aux autres infrastructures en ligne.

L’accès au Cloud devenant de plus en plus important, la tendance s’est poursuivie en 2021. L’accès aux serveurs de protocole de bureau à distance (RDP) et aux appliances virtuelles réseau (VPN) compte parmi les informations d’identification les plus vendues en ligne, selon IBM.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest