Des organisations des secteurs aérospatial et militaire ont été compromises dans une campagne de cyberespionnage très ciblée qui montre un lien possible avec les pirates nord-coréens, révèle ESET.

Active depuis septembre 2019 et toujours en cours, l’opération In (ter) ception a frappé des entreprises en Europe et au Moyen-Orient via de faux comptes sur LinkedIn qui ont affiché de fausses offres d’emploi. Les attaques semblent avoir été principalement axées sur l’espionnage, mais une tentative de compromis sur le courrier électronique professionnel a également été découverte.

L’acteur de la menace derrière ces attaques reste inconnu, mais ESET pense qu’il pourrait être lié au fameux groupe parrainé par l’État nord-coréen Lazarus, basé sur le ciblage, l’utilisation de faux comptes LinkedIn, des outils de développement et des méthodes anti-analyse. En outre, l’une des variantes de malware de stade 1 observées portait un échantillon de NukeSped attribué par Lazarus.

«Les attaques sur lesquelles nous avons enquêté ont montré tous les signes d’espionnage, plusieurs indices suggérant un lien possible avec le tristement célèbre groupe Lazarus. Cependant, ni l’analyse des logiciels malveillants ni l’enquête ne nous ont permis de savoir quels fichiers les attaquants visaient », commente Dominik Breitenbacher, chercheur à ESET.

De faux comptes LinkedIn prétendant être des représentants des ressources humaines dans des entreprises bien connues de l’aérospatiale et de la défense telles que Collins Aerospace (anciennement Rockwell Collins) et General Dynamics aux États-Unis ont été créés pour chacune des organisations ciblées.

De faux emplois attrayants ont été proposés et, une fois l’attention de la victime captée, les attaquants ont envoyé des archives protégées par mot de passe contenant des fichiers LNK qui ont lancé une invite de commande pour ouvrir un fichier PDF leurre dans le navigateur.

À l’insu de la victime, l’invite de commande a créé un nouveau dossier sur la machine, copié le WMIC.exe et configurez la persistance pour lui via une tâche planifiée. WMIC a été utilisé pour interpréter des scripts XSL distants, certutil pour le décodage de la charge utile, et …