Version anglaise : 🇬🇧
Au cours d’investigations et avec la coopération de plusieurs partenaires, l’ANSSI a découvert plusieurs infrastructures malveillantes, incluant des noms de domaine, des sous domaines et des adresses courriel, utilisées dans une large campagne d’attaque dont les premières activités observées remontent à 2017. L’acteur malveillant à l’origine de cette activité a enregistré de multiples noms de domaine, et créé plusieurs sous domaines avec un modèle de nom laissant transparaître des potentielles cibles. La principale motivation semble être la récupération d’identifiants de connexion, à l’aide de courriels d’hameçonnage ciblé et de sites d’hameçonnage.
La liste des possibles cibles est large, incluant des agents gouvernementaux et des think tanks. Cinq entités diplomatiques possiblement visées appartiennent à des membres du Conseil de sécurité des Nations Unies (Chine, France, Belgique, Pérou, Afrique du Sud).
L’attribution d’une cyber attaque à un acteur malveillant est un exercice complexe et n’est pas le but de ce document, ni celui de l’ANSSI. L’objectif de ce document est de mettre en lumière les liens techniques identifiés lors des investigations entre l’infrastructure utilisée au cours de ces attaques et les éléments techniques attribués en source ouverte aux modes opératoires d’attaquants suivants : Kimsuky et Group123.
Au cours de ces investigations, la société de sécurité informatique Anomali a publié un rapport mentionnant les mêmes activités.
Ce rapport détaille les infrastructures identifiées et quelques cibles potentielles. Les indicateurs de compromission sont présents dans le fichier CSV lié à ce rapport.
🇬🇧 TÉLÉCHARGER LE RAPPORT 🇬🇧
TÉLÉCHARGER L’ANNEXE CSV
Documentation
- Rapport d’Anomali concernant la campagne de récupération d’identifiants de connexion du 22 août 2019
https://www.anomali.com/blog/suspected-north-korean-cyber-espionage-campaign-targets-multiple-foreign-ministries-and-think-tanks - Rapport Talos concernant l’utilisation du sommet USA-Corée du Nord comme diversion pour des attaques envers la Corée du Sud
https://blog.talosintelligence.com/2018/05/navrat.html - Rapport Palo Alto concernant un malware nommé « Baby Shark » lié à la campagne de récupération d’identifiants de connexion
https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-u-s-national-security - Rapport de ESTsecurity concernant la campagne APT du groupe Kimsuky ‘Smoke Screen’
https://blog.alyac.co.kr/2243
