Le Threat Intelligence Center de Microsoft, ou MSTIC (prononcé mystique) en abrégé, avertit qu’un groupe de piratage militaire nord-coréen utilise de faux comptes de médias sociaux, en particulier sur LinkedIn, pour inciter les individus à utiliser de fausses offres d’emploi afin de diffuser du code open source malveillant.
L’équipe de piratage militarisée utilise des applications open source trojanisées et le recrutement de LinkedIn pour attirer les employés de l’industrie technologique, selon MSTIC, et la menace a été implacable. L’équipe de menace de Microsoft a partagé via un article de blog (s’ouvre dans un nouvel onglet) que le groupe utilise PuTTY, KiTTY, TightVNC, Sumatra PDF Reader et le logiciel muPDF/Subliminal Recording pour ces attaques depuis fin avril.
Qui ciblent-ils ?
Le groupe de pirates informatiques a ciblé des employés de plusieurs secteurs, notamment les médias, la défense et l’aérospatiale, aux États-Unis, au Royaume-Uni, en Inde et en Russie. Le groupe est soupçonné d’être à l’origine du célèbre piratage de Sony en 2014.
Connue sous le nom de Lazarus, la tenue est suivie par Microsoft sous le nom de ZINC. Les analystes des menaces Mandiant de Google Cloud ont rejoint MSTIC et ont noté les cibles de harponnage du groupe dans les secteurs de la technologie et des médias en utilisant de fausses offres d’emploi en juillet et en utilisant WhatsApp pour partager un cheval de Troie.
Comment c’est fait
Dans le billet de blog de Microsoft, l’équipe MSTIC a déclaré : “Les chercheurs de Microsoft ont observé le spear phishing comme une tactique principale pour les acteurs ZINC, mais ils ont également été observés en utilisant des compromis stratégiques sur les sites Web et l’ingénierie sociale sur les réseaux sociaux pour atteindre leurs objectifs”.
L’équipe du MSTIC poursuit en disant : « ZINC cible les employés des entreprises qu’il essaie d’infiltrer et tente de forcer ces individus à installer des programmes apparemment bénins ou à ouvrir des documents d’armes contenant des macros malveillantes. Des attaques ciblées ont également été menées contre des chercheurs en sécurité sur Twitter et LinkedIn.”
En créant de faux comptes sur LinkedIn, les pirates se sont livrés à des vols de données, ont piraté des comptes et des échanges cryptographiques et ont déchiré des réseaux. À son tour, l’équipe Threat Defense de LinkedIn, propriété de Microsoft, a supprimé tous les faux comptes qu’ils ont trouvés.
À l’aide de messages adaptés à des secteurs spécifiques, le groupe de piratage a ciblé des professionnels du support technique et des ingénieurs travaillant pour des sociétés de médias et d’informatique situées au Royaume-Uni, en Inde et aux États-Unis. Les autorités américaines ont émis un avertissement et informé les entreprises en Europe de ce qui s’est passé.
Auparavant, LinkedIn semblait être une plate-forme de médias sociaux très sûre, de type professionnel, pour la recherche d’emploi et le réseautage, mais dans le monde actuel des services d’abonnement aux pirates, il existe peu d’endroits sûrs sur Internet et nous devons toujours être sur nos gardes. Se tenir au courant des dernières menaces est une excellente première étape, et assurez-vous que vous utilisez l’une des meilleures applications antivirus pour rester en sécurité en ligne.
passant par: ZDNet
