Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

DPRK Operatives Impersonate Professionals on LinkedIn to Infiltrate Companies

3 minute de lecture

Mis à jour :

Les Opérations Nord-Coréennes : Exploitation des Emplois à Distance et Sophistication des Attaques

Des opérateurs associés à la Corée du Nord exploitent désormais des comptes LinkedIn réels pour postuler à des postes à distance, souvent en se faisant passer pour des professionnels possédant des badges d’identité et des courriels vérifiés. Cette tactique fait partie d’une opération plus vaste visant à générer des revenus pour le financement des programmes d’armement du pays, à mener de l’espionnage et, dans certains cas, à exiger des rançons. Les revenus perçus sont souvent blanchis via des techniques de cryptomonnaies complexes, incluant des échanges de jetons et des ponts pour masquer la traçabilité des fonds.

Une autre campagne, baptisée “Contagious Interview”, utilise des processus de recrutement frauduleux pour inciter les candidats à exécuter du code malveillant lors de prétendues évaluations de compétences. Des méthodes sophistiquées, telles que l’hébergement d’infrastructure de commande et de contrôle via des contrats intelligents (“EtherHiding”) et l’utilisation de fichiers VS Code malveillants, ont été observées pour déployer des malwares comme BeaverTail et InvisibleFerret, permettant un accès persistant et le vol d’informations sensibles.

Parallèlement, le groupe de hackers nord-coréen Labyrinth Chollima s’est fragmenté en trois entités distinctes (Labyrinth Chollima principal, Golden Chollima et Pressure Chollima), chacune avec des objectifs et des tactiques spécifiques, tout en partageant des outils et des infrastructures communs. Les opérations de Labyrinth Chollima sont motivées par l’espionnage cybernétique, employant des outils comme le rootkit FudModule. Les trois groupes utilisent des méthodes similaires, incluant la compromission de la chaîne d’approvisionnement, des campagnes d’ingénierie sociale basées sur les RH, des logiciels légitimes trojanisés et des paquets Node.js/Python malveillants.

Points Clés :

  • Usurpation d’identité sophistiquée : Utilisation de vrais profils LinkedIn avec des informations vérifiées pour postuler à des emplois à distance.
  • Double objectif : Génération de revenus pour le financement d’armes et espionnage par vol de données sensibles.
  • Blanchiment de cryptomonnaies : Utilisation de techniques avancées pour dissimuler la provenance des fonds.
  • Ingénierie sociale avancée : Campagnes “Contagious Interview” exploitant les processus de recrutement pour distribuer des malwares.
  • Techniques d’exécution innovantes : Utilisation de contrats intelligents et de fichiers VS Code pour dissimuler des malwares.
  • Fragmentation des groupes d’attaquants : Évolution de Labyrinth Chollima en sous-groupes avec des spécialisations.
  • Partage de ressources : Coordination et partage d’outils et d’infrastructures entre les différentes entités nord-coréennes.

Vulnérabilités :

Aucune vulnérabilité spécifique avec un identifiant CVE n’est mentionnée dans cet article. Les vulnérabilités exploitées sont d’ordre social (ingénierie sociale) et technique (exploitation de failles dans les processus de recrutement, de développement logiciel, et de sécurité des systèmes).

Recommandations :

  • Vérification des identités : Les entreprises doivent vérifier rigoureusement l’authenticité des candidats et des comptes qu’ils fournissent. Une simple demande de connexion sur LinkedIn peut aider à valider la propriété d’un compte.
  • Communication officielle : Les individus dont l’identité pourrait être usurpée devraient publier des avertissements sur leurs réseaux sociaux, en précisant leurs canaux de communication officiels et les méthodes de vérification.
  • Méfiance face aux offres d’emploi : Être vigilant face aux offres d’emploi trop alléchantes ou provenant de canaux non vérifiés, surtout dans le contexte du travail à distance.
  • Sécurité des processus de recrutement : Les entreprises doivent sécuriser leurs processus de recrutement, notamment les évaluations de compétences, pour éviter qu’ils ne soient détournés à des fins malveillantes.
  • Sensibilisation des employés : Former les employés aux risques de l’ingénierie sociale et aux tactiques utilisées par les acteurs malveillants.

Source

Vous pourriez aimer