En charge de la sécurité de l'information pour le Pentagone, l'United States Cyber Command ainsi que la Cybersecurity and Infrastructure Security Agency (rattachée au département de la Sécurité intérieure des États-Unis) et le FBI alertent au sujet de six nouveaux malwares.
Selon l'US Cyber Command, ces malwares font actuellement l'objet d'une utilisation pour du phishing et l'accès à distance par des hackers à la solde de la Corée du Nord dans le but de mener des activités illégales, voler des fonds et échapper à des sanctions.
Malware attributed to #NorthKorea by @FBI_NCIJTF just released here: https://t.co/cBqSL7DJzI. This malware is currently used for phishing & remote access by #DPRK cyber actors to conduct illegal activity, steal funds & evade sanctions. #HappyValentines @CISAgov @DHS @US_CYBERCOM
— USCYBERCOM Malware Alert (@CNMF_VirusAlert) February 14, 2020
Ils portent des noms farfelus comme Bistromath, Slickshoes, Hotcroissant, Artfulpie, Buttetline et Crowdedflounder. Pour chacun d'eux, un rapport d'analyse est publié. Des données et informations techniques sont partagées sur VirusTotal.
Parmi ces malwares, un cheval de Troie d'accès à distance (RAT), un injecteur (dropper) pour installer un logiciel malveillant, divers implants comme pour analyser un système, un exécutable Windows pour décompresser et faire tourner un RAT dans la mémoire de l'ordinateur.
Les six malwares s'ajoutent à un autre du nom de Hoplight, faisant référence à cheval de Troie et serveur proxy, qui avait été divulgué en avril dernier et pour lequel des informations ont été mises à jour.
L'activité malveillante soutenue par le gouvernement de Pyongyang est attribuée à un groupe du nom de Hidden Cobra. Ce n'est pas une première et ce groupe est davantage connu en tant que Lazarus (voire Zinc) qui est le nom donné par des chercheurs de sociétés privées de cybersécurité.
En 2018, les États-Unis ont inculpé un Nord-Coréen qui serait un membre de Lazarus et aurait participé à plusieurs cyberattaques comme celle à l'encontre de Sony Pictures Entertainment ou la cyberattaque par crypto-ransomware WannaCry.
L'année dernière, le département du Trésor des États-Unis a pris des sanctions financières visant trois groupes suspectés de mener des cyberattaques avec le soutien du gouvernement de Corée du Nord. Le nom de Lazarus est évidemment ressorti.
D'après un rapport des Nations unies, la Corée du Nord a utilisé des cyberattaques sophistiquées dans le but de voler des fonds d'institutions financières et de plateformes de cryptomonnaies. Le gouvernement de Pyongyang aurait ainsi récolté près de 2 milliards de dollars pour ses programmes de missiles et d'armes nucléaires.
