Mandiant découvre une campagne de phishing nord-coréenne par le groupe UNC2970
Depuis juin 2022, Mandiant suit une campagne visant les entreprises occidentales du secteur des médias et de la technologie, menée par un groupe d’espionnage nord-coréen présumé, connu sous le nom d’UNC2970. En juin 2022, Mandiant Managed Defense a détecté et répondu à une campagne de phishing de l’UNC2970 visant une entreprise technologique basée aux États-Unis. Au cours de cette opération, Mandiant a observé que l’UNC2970 utilisait trois nouvelles familles de codes : TOUCHMOVE, SIDESHOW et TOUCHSHIFT. Mandiant soupçonne UNC2970 d’avoir spécifiquement ciblé les chercheurs en sécurité lors de cette opération. Suite à l’identification de cette campagne, Mandiant a répondu à plusieurs intrusions d’UNC2970 ciblant des organisations du monde des médias américains et européens par le biais d’un spear-phishing utilisant un thème de recrutement et démontrant des avancées dans la capacité du groupe à opérer dans des environnements cloud et contre des outils de détection et de réponse endpoints(EDR).
L’UNC2970 est soupçonné, avec une confiance absolue, d’être l’UNC577, également connu sous le nom de Temp.Hermit. UNC577 est un groupe de cyberactivité nord-coréen actif depuis au moins 2013. Le groupe a des similitudes importantes avec d’autres opérateurs nord-coréens en matière de logiciels malveillants et est soupçonné de partager des ressources, telles que du code et des outils complets de logiciels malveillants, avec d’autres acteurs distincts. Si les activités observées de l’UNC577 visent principalement des entités en Corée du Sud, elles ont également ciblé d’autres organisations dans le monde entier.
UNC2970 a toujours ciblé les organisations avec des e-mails de spear phishing ayant pour thème le recrutement. Ces opérations présentent de nombreux recoupements avec les rapports publics sur l’opération “Dream Job” de Google TAG, Proofpoint et ClearSky.
UNC2970 a récemment décidé de cibler les utilisateurs directement sur LinkedIn en utilisant de faux comptes se faisant passer pour des recruteurs. L’UNC2970 dispose d’un ensemble de comptes LinkedIn élaborés sur la base d’utilisateurs légitimes. Ces comptes sont bien structurés et créés par des professionnels pour imiter les identités des utilisateurs légitimes afin d’établir un lien et d’augmenter la probabilité d’une conversation et d’une interaction. L’UNC2970 utilise ces comptes pour inciter socialement les cibles à s’engager sur WhatsApp, où l’UNC2970 transmet alors une requête de phishing soit à l’adresse électronique de la cible, soit directement sur WhatsApp. UNC2970 utilise principalement la porte dérobée PLANKWALK lors des opérations de phishing, ainsi que d’autres familles de logiciels malveillants qui partagent leur code avec de nombreux outils utilisés par UNC577. Mandiant a récemment détaillé l’activité de UNC2970 qui a été identifiée par Mandiant Managed Defense au cours d’une recherche aux menaces proactive (Hunting) . Cette activité a d’abord été regroupée sous l’appellation UNC4034, mais a depuis été fusionnée avec l’UNC2970 sur la base de multiples recoupements d’infrastructures, d’outils et de tactiques, de techniques et de procédures (TTP).
À propos de Mandiant
Mandiant est un leader reconnu dans les services dynamiques de cyberdéfense, de renseignement sur les menaces et de réponse aux incidents. En s’appuyant sur des décennies d’expérience en première ligne, Mandiant aide les entreprises à être confiantes dans leur capacité à se défendre contre les cybermenaces et à y répondre. Mandiant fait désormais partie de Google Cloud.