ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics
Mis à jour :
Opération HanKook Phantom : ScarCruft cible le milieu universitaire sud-coréen avec RokRAT
Un groupe de pirates informatiques lié à la Corée du Nord, connu sous le nom de ScarCruft (ou APT37), est à l’origine d’une nouvelle campagne de phishing orchestrée contre des universitaires et des personnalités associées à des institutions sud-coréennes, notamment la National Intelligence Research Association. L’objectif principal de cette opération, baptisée Operation HanKook Phantom, est la collecte d’informations sensibles et l’espionnage.
Points Clés de l’Attaque :
- Technique d’hameçonnage : Les attaques débutent par des e-mails de spear-phishing contenant un fichier ZIP. Ce dernier comprend un raccourci Windows (fichier LNK) déguisé en document PDF.
- Charge utile : L’ouverture du fichier LNK déclenche l’affichage d’une fausse newsletter sur la recherche en renseignement, tout en déployant le malware RokRAT sur le système compromis.
- Malware RokRAT : Déjà associé à APT37, RokRAT est capable de collecter des informations système, d’exécuter des commandes arbitraires, de lister le système de fichiers, de capturer des captures d’écran et de télécharger des charges utiles supplémentaires. Les données collectées sont exfiltrées via des services cloud comme Dropbox, Google Cloud, pCloud et Yandex Cloud.
- Variante d’attaque : Une autre campagne détectée utilise le fichier LNK pour lancer un script PowerShell. Celui-ci dépose un faux document Word et exécute un script batch obfusqué, qui à son tour déploie un dropper. Ce dernier exécute une charge utile de second niveau pour voler des données sensibles tout en dissimulant le trafic réseau comme un téléversement de fichier Chrome. Le document leurre utilisé ici est une déclaration de Kim Yo Jong rejetant les initiatives de réconciliation de Séoul.
- Tactiques employées : ScarCruft continue d’utiliser des attaques de spear-phishing très ciblées, exploitant des chargeurs LNK malveillants, l’exécution sans fichier de PowerShell et des mécanismes d’exfiltration discrets.
Vulnérabilités exploitées :
L’article ne mentionne pas de CVE spécifiques dans le cadre de cette campagne. Cependant, les techniques utilisées impliquent l’exploitation de la confiance des utilisateurs via des e-mails de phishing bien conçus et la dissimulation de charge utiles malveillantes derrière des extensions de fichiers trompeuses (.lnk se faisant passer pour .pdf).
Recommandations :
Bien que l’article ne fournisse pas de recommandations directes, les pratiques générales de cybersécurité s’appliquent :
- Vigilance accrue : Être extrêmement prudent face aux e-mails inattendus, particulièrement ceux contenant des pièces jointes ou des liens suspects, même s’ils proviennent de sources connues.
- Vérification des expéditeurs et du contenu : Toujours vérifier l’adresse e-mail de l’expéditeur et s’assurer de la légitimité du contenu avant d’ouvrir des pièces jointes ou de cliquer sur des liens.
- Mises à jour régulières : S’assurer que les systèmes d’exploitation, les logiciels de sécurité et les applications sont constamment mis à jour pour corriger les vulnérabilités connues.
- Sensibilisation à la sécurité : Participer à des formations sur la sensibilisation à la cybersécurité pour comprendre les tactiques d’ingénierie sociale.