Vers la fin du mois de janvier 2021, le groupe d'analyse des menaces de Google a révélé qu'un groupe de pirates informatiques nord-coréens cible les chercheurs en sécurité en ligne, en particulier ceux qui travaillent sur les vulnérabilités et exploits.

Maintenant, Microsoft a confirmé qu'il suivait également l'équipe de piratage de la RPDC, révélé dans un rapport récemment publié.

Microsoft Tracking Groupe de piratage nord-coréen

Dans un rapport publié sur le Sécurité Microsoft blog, l'équipe Microsoft Threat Intelligence détaille sa connaissance du groupe de piratage lié à la RPDC. Microsoft traque le groupe de piratage sous le nom de «ZINC», tandis que d'autres chercheurs en sécurité optent pour le nom plus connu de «Lazarus».

En rapport: Les gangs de cybercriminalité organisés les plus notoires

Les 5 gangs de cybercriminalité organisés les plus notoires

La cybercriminalité est une menace qui nous interpelle tous. La prévention nécessite une éducation, il est donc temps de se renseigner sur les pires groupes de cybercriminalité.

instagram viewer

Les rapports de Google et de Microsoft expliquent que la campagne en cours utilise les médias sociaux pour entamer des conversations normales avec des chercheurs en sécurité avant de leur envoyer des fichiers contenant une porte dérobée.

L'équipe de piratage gère plusieurs comptes Twitter (ainsi que LinkedIn, Telegram, Keybase, Discord et autres plates-formes), qui publient lentement des nouvelles de sécurité légitimes, bâtissant une réputation de la source. Après un certain temps, les comptes contrôlés par les acteurs contactaient les chercheurs en sécurité, leur posant des questions spécifiques sur leurs recherches.

Si le chercheur en sécurité a répondu, le groupe de piratage tenterait de déplacer la conversation sur une plate-forme différente, telle que Discord ou des e-mails.

Une fois la nouvelle méthode de communication établie, l'acteur de la menace enverrait un projet Visual Studio compromis en espérant que le chercheur en sécurité exécuterait le code sans analyser le contenu.

En rapport: Qu'est-ce qu'une porte dérobée et que fait-elle?

L'équipe de piratage nord-coréen s'était donné beaucoup de mal pour dissimuler le fichier malveillant dans le Visual Projet Studio, échange d'un fichier de base de données standard contre une DLL malveillante, ainsi que d'autres obfuscations méthodes.

Selon le Rapport Google sur la campagne, la porte dérobée malveillante n'est pas la seule méthode d'attaque.

En plus de cibler les utilisateurs via l'ingénierie sociale, nous avons également observé plusieurs cas où des chercheurs ont été compromis après avoir visité le blog des acteurs. Dans chacun de ces cas, les chercheurs ont suivi un lien sur Twitter vers un article hébergé sur blog.br0vvnn [.] Io, et peu après, un un service malveillant a été installé sur le système du chercheur et une porte dérobée en mémoire commencerait à être signalée à un commandement et un contrôle appartenant à l'acteur serveur.

Microsoft estime qu '"un exploit du navigateur Chrome a probablement été hébergé sur le blog", bien que cela ne soit pas encore vérifié par aucune des équipes de recherche. En plus de cela, Microsoft et Google pensent qu'un exploit zero-day a été utilisé pour compléter ce vecteur d'attaque.

Cibler les chercheurs en sécurité

La menace immédiate de cette attaque est pour les chercheurs en sécurité. La campagne a spécifiquement ciblé les chercheurs en sécurité impliqués dans la détection des menaces et la recherche sur la vulnérabilité.

Je ne vais pas mentir, le fait que j'ai été ciblé est une douce et douce validation de mes compétences;) https://t.co/1WuIQ7we4R

- Aliz (@ AlizTheHax0r) 26 janvier 2021

Comme on le voit souvent avec des attaques hautement ciblées de cette nature, la menace pour le grand public reste faible. Cependant, garder votre navigateur et vos programmes antivirus à jour est toujours une bonne idée, tout comme ne pas cliquer et suivre des liens aléatoires sur les réseaux sociaux.

E-mail
5 applications de sécurité et de confidentialité populaires que vous devez désinstaller et remplacer

Toutes les applications de sécurité et de confidentialité ne sont pas égales. Voici cinq applications de sécurité et de confidentialité que vous devez désinstaller et par quoi les remplacer.

Rubriques connexes
  • Sécurité
  • Actualités techniques
  • Microsoft
  • Porte arrière
A propos de l'auteur
Gavin Phillips (708 Articles publiés)

Gavin est l'éditeur junior pour Windows and Technology Explained, un contributeur régulier au podcast Really Useful, et était l'éditeur du site sœur de MakeUseOf axé sur la cryptographie, Blocks Decoded. Il possède un BA (Hons) en écriture contemporaine avec des pratiques d'art numérique pillées dans les collines du Devon, ainsi que plus d'une décennie d'expérience en rédaction professionnelle. Il aime beaucoup de thé, de jeux de société et de football.

Plus de Gavin Phillips

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!

Un pas de plus…!

Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.

.