Des hackers nord-coréens révèlent le malware Goldbackdoor
Les groupes de piratage nord-coréens comptent parmi les organisations de cybercriminalité les plus notoires au monde. La majorité de leurs attaques ont des motivations financières ou politiques. L'une des dernières charges utiles qu'ils utilisent s'appelle Goldbackdoor Malware, et il semble qu'elle soit utilisée depuis mars. Au cours des deux derniers mois, le logiciel malveillant Goldbackdoor a été utilisé dans des attaques contre des journalistes dans le monde entier, et l'objectif principal de la campagne est le vol de données. Cependant, il est possible pour les criminels d'effectuer d'autres tâches en raison de la nature des fonctionnalités de Goldbackdoor Malware.
Les coupables probables derrière l'opération Goldbackdoor Malware seraient un groupe APT (Advanced Persistent Threat) suivi sous l'alias APT37. Ils sont également bien connus sous le nom de ScarCruft . Le logiciel malveillant Goldbackdoor nouvellement identifié a été récupéré à partir des systèmes compromis de journalistes sud-coréens, et il semble partager des similitudes avec les logiciels malveillants ScarCruft précédents tels que Bluelight.
Les victimes du logiciel malveillant Goldbackdoor semblent être approchées via des e-mails de harponnage intelligemment conçus, qui concernent les tendances et les sujets actuels pour rendre plus probable que la victime tombe dans l'appât. De plus, les pirates semblent avoir compromis des comptes de messagerie légitimes pour rendre leur campagne de spam plus crédible. L'un des messages contenant la pièce jointe Goldbackdoor Malware a été envoyé à partir de l'e-mail personnel d'un ancien directeur du Service national de renseignement de Corée du Sud.
Quant à la charge utile, elle s'appuie sur des services d'hébergement cloud public pour exfiltrer des données, ainsi que pour recevoir des commandes. Certains des services légitimes sur lesquels Goldbackdoor Malware s'appuie sont les API Microsoft Azure, OneDrive, Google Docs et Graph. Les attaques de ce type sont exceptionnellement dangereuses, car les utilitaires de pare-feu peuvent être incapables d'intercepter le trafic malveillant. Cependant, un produit antivirus réputé devrait toujours suffire à mettre fin au logiciel malveillant Goldbackdoor.
