News
FadeStealer : un nouveau logiciel malveillant d’écoute du groupe de pirates nord-coréens APT37
juin 2023 par Benoit Grunemwald Expert en Cyber sécurité, ESET France
Selon Bleeping Computer "le groupe de pirates nord-coréens APT37 utilise un nouveau logiciel malveillant "FadeStealer" pour voler des informations, qui contient une fonction d’écoute électronique permettant à l’acteur de la menace d’espionner et d’enregistrer les microphones de ses victimes.
APT37, également connu sous les noms de StarCruft, Reaper ou RedEyes, est considéré comme un groupe de pirates informatiques parrainé par l’État qui mène depuis longtemps des attaques de cyberespionnage alignées sur les intérêts de la Corée du Nord. Ces attaques visent des transfuges nord-coréens, des établissements d’enseignement et des organisations basées dans l’Union européenne.
Dans le passé, les pirates étaient connus pour utiliser des logiciels malveillants personnalisés appelés "Dolphin" et "M2RAT" pour exécuter des commandes et voler des données, des informations d’identification et des captures d’écran à partir d’appareils Windows et même de téléphones mobiles connectés."
Benoit Grunemwald - Expert en Cybersécurité chez ESET France réagit :
« APT37 - ou ScarCruft, comme nous les appelons - a mis les bouchées doubles, semble-t-il. Signalés en novembre dernier, ils mènent des campagnes d’espionnage depuis au moins 2012. On remarque que leurs attaques sont extrêmement bien ciblées. Nous avons observé des méthodes de type "watering-hole" ainsi que plus récemment l’utilisation de spear-phishing pour diffuser leur logiciel espion. On peut supposer que ce type d’attaques se multipliera, non seulement en Asie mais aussi dans le reste du monde, car les techniques utilisées ne sont pas l’apanage des acteurs de la menace liés à la Corée du Nord.
Ces types d’attaques sont conçus pour des cibles spécifiques ; les journalistes d’investigation, les ONG et surtout les entreprises qui peuvent toutefois se retrouver dans le collimateur d’attaques ciblées.
Le meilleur conseil est d’utiliser des solutions de sécurité sur tous ses terminaux (PX, macos et smartphone) capables d’analyser et de bloquer tout trafic web (sites web, téléchargements, courrier et pièces jointes). Il est recommandé de bloquer immédiatement les types de fichiers inappropriés (CHM) attachés aux courriers électroniques. Pour aller plus loin, utiliser une solution EDR/XDR/MDR qui vous aidera, vous et votre entreprise, à repérer les comportements inhabituels dans votre réseau, tels que la création régulière d’archives RAR et le téléchargement de fichiers vers des emplacements inconnus. »
