Exploits de type "jour zéro" : Les chercheurs en cybersécurité attaqués
Des acteurs de la menace liés à la Corée du Nord ont ciblé des experts en cybersécurité ces dernières semaines, provoquant des des exploits de type "zero-day. Ces attaquants s'infiltrent dans les réseaux des chercheurs en exploitant une vulnérabilité de type "zero-day" dans un logiciel qui n'a pas encore été publié. Le groupe d'analyse des menaces (TAG) de Google a découvert ces comportements illicitesmettant en lumière les stratégies des adversaires.
L'approche trompeuse : Construire la confiance sur les médias sociaux
Les acteurs de la menace nord-coréenne ont mis au point une technique trompeuse. Pour établir des contacts avec des cibles potentielles, ils créent de fausses identités sur d'importantes plateformes de médias sociaux, ils créent de fausses identités sur d'importantes plateformes de médias sociaux telles que X (anciennement Twitter) et Mastodon. Ces imposteurs organisent des discussions approfondies en prétendant s'intéresser à des sujets liés à la sécurité collaborative. Une fois le contact établi sur les médias sociaux, ils passent aux outils de messagerie sécurisés suivants des outils de messagerie sécurisés comme Signal, WhatsApp ou Wire.
Les attaques de pirates informatiques contre les chercheurs sont devenues beaucoup plus faciles grâce à l'ingénierie sociale. Les attaquants gagnent ainsi la confiance des chercheurs en cybersécurité. Ils finissent par transmettre un fichier malveillant qui contient l'exploitation d'un bogue du jour zéro d'un logiciel couramment utilisé. Il est essentiel de mentionner que le logiciel endommagé est actuellement en cours de réparation.
Mesures pour les charges utiles avancées et la lutte contre les machines virtuelles
Après l'exécution de la charge utile malveillante, celle-ci effectue une série de tests pour découvrir les machines virtuelles (VM). Les informations recueillies, y compris une capture d'écran, sont ensuite envoyées à un site contrôlé par les attaquants. Cette stratégie innovante vise à éviter la détection tout en améliorant les capacités des attaquants.
Un compte suspendu sur X, actif depuis au moins octobre 2022, suggère que les attaquants ont été persistants. Ils ont même publié un code d'exploitation de démonstration de concept (PoC) pour des vulnérabilités critiques d'élévation de privilèges dans le noyau Windowstelles que CVE-2021-34514 et CVE-2022-21881.
Un schéma récurrent : Les leurres liés à la collaboration
Ce n'est pas la première fois que des acteurs nord-coréens lancent des cyberattaques contre des experts en sécurité. GitHub a révélé une campagne utilisant de fausses identités ciblant le secteur de la cybersécurité en juillet 2023. Les attaquants incitaient les victimes à collaborer sur les dépôts GitHub avant de les convaincre de cloner et d'exécuter un code malveillant.
Google TAG a également découvert un programme Windows autonome nommé "GetSymbol" que les attaquants ont créé et posté sur GitHub. Bien qu'il ait été conçu à l'origine pour obtenir des symboles de débogage à partir de sources fiables, il peut également télécharger et exécuter du code arbitraire à partir d'un domaine de commande et de contrôle (C2). En raison de sa stratégie complexe, il s'agit d'un formidable vecteur d'infection secondaire.
Un paysage des menaces plus complet
Cette découverte s'inscrit dans la lignée des découvertes du Centre de réponse aux urgences de sécurité (ASEC) d'AhnLab, qui a révélé que ScarCruft, a acteur étatique nord-coréen, utilisant des fichiers LNK dans des courriels d'hameçonnage.. Ces fichiers contiennent une porte dérobée capable d'extraire des données sensibles et d'exécuter des commandes dangereuses.
Selon les récentes découvertes de Microsoft, plusieurs acteurs de la menace nord-coréenne ciblent le gouvernement russe et le secteur de la défenseprobablement à des fins de collecte de renseignements, tout en aidant la Russie dans sa confrontation avec l'Ukraine. Ce large éventail d'activités met en évidence l'adaptabilité et la nature variée des cybermenaces nord-coréennes. Elle met également l'accent sur la nécessité de mettre en place des des mesures de sécurité de type "zéro jour.
Implications internationales des exploits de type Zero-Day
Outre la collecte de renseignements et l'espionnage informatique, le Lazarus Group, une autre entité nord-coréenne, a été accusée par le FBI d'avoir encaissé 41 millions de dollars en monnaie virtuelle de Stake.com, un site de casino et de paris en ligne. Cette divulgation de la vulnérabilité souligne les objectifs plus larges des acteurs nord-coréens de la cybermenace. acteurs nord-coréens de la cybermenacequi visent notamment à collecter des fonds en crypto-monnaies pour le compte de l'État.
Conclusion
Enfin, les acteurs de la menace nord-coréenne utilisent une variété d'approches pour atteindre leurs objectifs, allant du vulnérabilité de type "jour zéro aux attaques par hameçonnage. Pour ce qui est de protéger les données de recherche, les chercheurs en cybersécurité doivent rester attentifs et utiliser des mesures de sécurité rigoureuses. Ces menaces pour la cybersécurité soulignent l'importance cruciale de la coopération internationale et du partage d'informations pour atténuer l'impact des opérations hostiles.
Les sources de cet article comprennent des articles dans The Hacker News et BleepingComputer.