BlueNoroff Utilise ClickFix, PowerShell sans Fichier, et de Fausses Réunions Zoom Générées par l’IA pour Cibler le Secteur Web3
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
BlueNoroff, un sous-groupe motivé par des objectifs financiers du Lazarus Group lié à la RDPC, a mené une intrusion ciblée contre une entreprise nord-américaine de Web3 et de cryptomonnaie. Les attaquants ont combiné des techniques de ClickFix, l’exécution de PowerShell sans fichier, et des invitations de réunions Zoom générées par IA pour obtenir un accès initial et étendre leur portée au sein de l’environnement. L’opération met en évidence un mélange mûr d’ingénierie sociale et de tactiques de living-off-the-land conçues pour soutenir le vol de cryptomonnaie.
Enquête
Les analystes d’Arctic Wolf ont détecté l’intrusion après avoir identifié une activité PowerShell inhabituelle et des liens de réunions Zoom malveillants enrichis de contenu généré par IA. Des preuves supplémentaires ont indiqué des méthodes de livraison ClickFix et une exécution sans fichier, indiquant une tentative claire d’échapper aux défenses antivirus conventionnelles. L’attribution à BlueNoroff était basée sur les outils observés, le comportement opérationnel, et les schémas de techniques associées depuis longtemps aux activités du Lazarus Group.
Atténuation
Les organisations devraient exiger une authentification multi-facteurs pour Zoom et autres plateformes de conférence, limiter la télécommande PowerShell inutile, et surveiller de près les binaires liés à ClickFix suspects. Les contrôles de sécurité des e-mails devraient également être renforcés pour intercepter les appâts de phishing générés par IA, tandis que les utilisateurs devraient être formés à vérifier les invitations de réunion inattendues avant d’interagir avec elles.
Réponse
Si cette activité est détectée, isolez immédiatement les terminaux affectés, capturez la mémoire volatile, et effectuez une analyse forensic des journaux PowerShell et de tout artefact lié à ClickFix. Les identifiants compromis doivent être révoqués, les secrets sensibles tournés, et les procédures de réponse aux incidents pour le vol potentiel de cryptomonnaie activées. Les indicateurs pertinents doivent également être partagés avec les ISACs de l’industrie, et les détections mises à jour pour refléter les dernières découvertes.
Flux d’attaque
Nous mettons encore à jour cette partie. Inscrivez-vous pour être notifié
M’avertirDétections
Télécharger ou télécharger via Powershell (via cmdline)
Voir
Chaînes PowerShell suspectes (via cmdline)
Voir
Utilisation suspecte de CURL (via cmdline)
Voir
Utilisation suspecte de Invoke-RestMethod (via PowerShell)
Voir
Chaînes PowerShell suspectes (via PowerShell)
Voir
Appeler des méthodes .NET suspectes depuis PowerShell (via PowerShell)
Voir
Appeler des fonctions API Windows suspectes depuis PowerShell (via PowerShell)
Voir
Indicateurs possibles d’obfuscation PowerShell (via PowerShell)
Voir
Binaire ou scripts suspects dans l’emplacement de démarrage automatique (via file_event)
Voir
Possible abus de Telegram comme canal de commande et de contrôle (via dns_query)
Voir