Mandiant a publié un article de blog détaillant une campagne de cyberespionnage menée par un groupe suspecté d'être lié à la Corée du Nord, suivi sous le nom de UNC2970. Ce groupe cible ses victimes en se faisant passer pour un recruteur d'entreprises renommées, proposant de fausses offres d'emploi.
Ce que j'ai trouvé particulièrement intéressant, c'est l'utilisation par UNC2970 d'une version trojanisée du lecteur PDF open source SumatraPDF. Ils n'exploitent pas une vulnérabilité dans SumatraPDF lui-même, mais modifient plutôt le code pour diffuser leurs logiciels malveillants.
Cette technique met en évidence la menace croissante que représente la chaîne d'approvisionnement logicielle. Même lorsque vous utilisez des logiciels open source, il est essentiel de faire preuve de prudence et de s'assurer de l'intégrité de la source du logiciel.
J'ai également été impressionné par la décomposition détaillée de la chaîne d'infection par Mandiant, de l'appâtage de la victime avec un fichier PDF chiffré au déploiement de la porte dérobée MISTPEN.
Cette analyse fournit des informations précieuses aux chercheurs en sécurité et aux défenseurs pour mieux comprendre les tactiques, techniques et procédures (TTP) de UNC2970 et améliorer leurs défenses contre ce groupe.
Je recommande vivement de lire l'article de blog de Mandiant pour une analyse complète, y compris les indicateurs de compromission (IOC) et les règles YARA pour la détection et la réponse.
