Vers la fin du mois de janvier 2021, le groupe d'analyse des menaces de Google a révélé qu'un groupe de pirates nord-coréens cible les chercheurs en sécurité en ligne, recherchant spécifiquement ceux qui travaillent sur les vulnérabilités et les exploits.
Maintenant, Microsoft a confirmé qu'il suivait également l'équipe de piratage de la RPDC, révélé dans un rapport récemment publié.
Microsoft Tracking North Korean Hacking Group
Dans un rapport publié sur le Sécurité Microsoft blog, l'équipe Microsoft Threat Intelligence détaille ses connaissances sur le groupe de piratage lié à la RPDC. Microsoft suit le groupe de piratage sous le nom de "ZINC", tandis que d'autres chercheurs en sécurité optent pour le nom plus connu de "Lazarus".
La cybercriminalité est une menace qui nous interpelle tous. La prévention nécessite de l'éducation, il est donc temps d'en apprendre davantage sur les pires groupes de cybercriminalité.
Les rapports Google et Microsoft expliquent que la campagne en cours utilise les médias sociaux pour entamer des conversations normales avec des chercheurs en sécurité avant de leur envoyer des fichiers contenant une porte dérobée.
L'équipe de piratage gère plusieurs comptes Twitter ainsi que LinkedIn, Telegram, Keybase, Discord et d'autres plates-formes, qui publient lentement des nouvelles de sécurité légitimes, bâtissant une réputation de source de confiance. Après un certain temps, l'acteur a contrôléles comptes contacteraient les chercheurs en sécurité, leur posant des questions spécifiques sur leurs recherches.
Si le chercheur en sécurité a répondu, le groupe de piratage tenterait de déplacer la conversation sur une plate-forme différente, telle que Discord ou les e-mails.
Une fois la nouvelle méthode de communication établie, l'acteur de la menace enverrait un projet Visual Studio compromis en espérant que le chercheur en sécurité exécuterait le code sans analyser le contenu.
L'équipe de piratage nord-coréen s'était donné beaucoup de mal pour masquer le fichier malveillant dans le projet Visual Studio, en remplaçant un fichier de base de données standard par une DLL malveillante, ainsi que d'autres méthodes d'obfuscation.
selon le rapport Google sur la campagne, la porte dérobée malveillante n'est pas la seule méthode d'attaque.
En plus de cibler les utilisateurs via l'ingénierie sociale, nous avons également observé plusieurs cas où des chercheurs ont été compromis après avoir visité le blog des acteurs. Dans chacun de ces cas, les chercheurs ont suivi un lien sur Twitter vers un article hébergé surblog.br0vvnn [.] io, et peu de temps après, un service malveillant a été installé sur le système du chercheur et une porte dérobée en mémoire commencerait à être balise vers un serveur de commande et de contrôle appartenant à l'acteur.
Microsoft estime qu '"un exploit du navigateur Chrome a probablement été hébergé sur le blog", bien que cela ne soit pas encore vérifié par l'une ou l'autre des équipes de recherche. De plus, Microsoft et Google pensent qu'un exploit zero-day a été utilisé pour compléter ce vecteur d'attaque.
Ciblage des chercheurs en sécurité
La menace immédiate de cette attaque est pour les chercheurs en sécurité. La campagne a spécifiquement ciblé les chercheurs en sécurité impliqués dans la détection des menaces et la recherche sur la vulnérabilité.
Je ne vais pas mentir, le fait que j'ai été ciblé est une douce douce validation de mes compétences; https://t.co/1WuIQ7we4R
- Aliz @ AlizTheHax0r 26 janvier 2021
Comme nous le voyons souvent avec des attaques très ciblées de cette nature, la menace pour le grand public reste faible. Cependant, garder votre navigateur et vos programmes antivirus à jour est toujours une bonne idée, tout comme ne pas cliquer et suivre des liens aléatoires sur les réseaux sociauxmédias.
