Microsoft estime que les pirates informatiques liés à la RPDC ont utilisé Chrome Zero-Day
Vers la fin du mois de janvier 2021, le groupe d'analyse des menaces de Google a révélé qu'un groupe de pirates nord-coréens cible les chercheurs en sécurité en ligne, en particulier ceux qui travaillent sur les vulnérabilités et les exploits.
Maintenant, Microsoft a confirmé qu'il suivait également l'équipe de piratage de la RPDC, révélé dans un rapport récemment publié.
Microsoft Tracking North Korean Hacking Group
Dans un rapport publié sur le blog Microsoft Security , l'équipe Microsoft Threat Intelligence détaille sa connaissance du groupe de piratage lié à la RPDC. Microsoft traque le groupe de piratage sous le nom de «ZINC», tandis que d'autres chercheurs en sécurité optent pour le nom plus connu de «Lazarus».
Les rapports de Google et de Microsoft expliquent que la campagne en cours utilise les médias sociaux pour entamer des conversations normales avec des chercheurs en sécurité avant de leur envoyer des fichiers contenant une porte dérobée.
L'équipe de piratage gère plusieurs comptes Twitter (ainsi que LinkedIn, Telegram, Keybase, Discord et d'autres plates-formes), qui publient lentement des nouvelles de sécurité légitimes, bâtissant une réputation de source de confiance. Après un certain temps, les comptes contrôlés par les acteurs contactaient les chercheurs en sécurité, leur posant des questions spécifiques sur leurs recherches.
Si le chercheur en sécurité a répondu, le groupe de piratage tenterait de déplacer la conversation sur une plate-forme différente, telle que Discord ou des e-mails.
Une fois la nouvelle méthode de communication établie, l'acteur de la menace enverrait un projet Visual Studio compromis en espérant que le chercheur en sécurité exécuterait le code sans analyser le contenu.
L'équipe de piratage nord-coréen s'était donné beaucoup de mal pour masquer le fichier malveillant dans le projet Visual Studio, en remplaçant un fichier de base de données standard par une DLL malveillante, ainsi que d'autres méthodes d'obfuscation.
Selon le rapport de Google sur la campagne, la porte dérobée malveillante n'est pas la seule méthode d'attaque.
En plus de cibler les utilisateurs via l'ingénierie sociale, nous avons également observé plusieurs cas où des chercheurs ont été compromis après avoir visité le blog des acteurs. Dans chacun de ces cas, les chercheurs ont suivi un lien sur Twitter vers un article hébergé sur blog.br0vvnn [.] Io, et peu de temps après, un service malveillant a été installé sur le système du chercheur et une porte dérobée en mémoire commencerait beaconing à un serveur de commande et de contrôle appartenant à l'acteur.
Microsoft estime qu '"un exploit du navigateur Chrome a probablement été hébergé sur le blog", bien que cela ne soit pas encore vérifié par aucune des équipes de recherche. De plus, Microsoft et Google pensent qu'un exploit zero-day a été utilisé pour compléter ce vecteur d'attaque.
Cibler les chercheurs en sécurité
La menace immédiate de cette attaque est pour les chercheurs en sécurité. La campagne a spécifiquement ciblé les chercheurs en sécurité impliqués dans la détection des menaces et la recherche sur la vulnérabilité.
Je ne vais pas mentir, le fait que j'ai été ciblé est une douce et douce validation de mes compétences;) https://t.co/1WuIQ7we4R
– Aliz (@ AlizTheHax0r) 26 janvier 2021
Comme on le voit souvent avec des attaques hautement ciblées de cette nature, la menace pour le grand public reste faible. Cependant, garder votre navigateur et vos programmes antivirus à jour est toujours une bonne idée, tout comme ne pas cliquer et suivre des liens aléatoires sur les réseaux sociaux.