Le groupe d’analyse des menaces (TAG) de Google affirme que les pirates informatiques de l’État nord-coréen ciblent à nouveau les chercheurs en sécurité dans le cadre d’attaques utilisant au moins un jour zéro dans un logiciel populaire non divulgué.
Les chercheurs attaqués dans cette campagne sont impliqués dans la recherche et le développement de vulnérabilités, selon l’équipe d’experts en sécurité de Google qui protège les utilisateurs de l’entreprise contre les attaques parrainées par l’État.
Google n’a pas encore divulgué de détails sur la faille zero-day exploitée dans ces attaques ni le nom du logiciel vulnérable, probablement parce que le fournisseur est toujours en train de corriger la vulnérabilité.
« TAG est au courant d’au moins un jour 0 activement exploité qui a été utilisé pour cibler des chercheurs en sécurité au cours des dernières semaines », ont déclaré Clement Lecigne et Maddie Stone de Google TAG.
« La vulnérabilité a été signalée au fournisseur concerné et est en train d’être corrigée. »
Mastodon et Twitter utilisés pour contacter des cibles
Les attaquants utilisent les réseaux sociaux Twitter et Mastodon pour inciter les chercheurs en sécurité ciblés à passer à des plateformes de messagerie cryptées comme Signal, Wire ou WhatsApp.
Après avoir établi une relation et utilisé des canaux de communication sécurisés, les attaquants leur envoient des fichiers malveillants conçus pour exploiter le zero-day.
La charge utile du shellcode déployée sur les systèmes des chercheurs vérifie si elle s’exécute dans une machine virtuelle, puis envoie les informations collectées (y compris des captures d’écran) aux serveurs de commande et de contrôle des attaquants.
Ils utilisent également l’outil open source GetSymbol pour l’ingénierie inverse qui devrait uniquement aider à télécharger les symboles de débogage Microsoft, Google, Mozilla et Citrix, mais qui permet également de télécharger et d’exécuter du code arbitraire.
« Si vous avez téléchargé ou exécuté cet outil, TAG vous recommande de prendre des précautions pour vous assurer que votre système est dans un état de propreté connu, ce qui nécessitera probablement une réinstallation du système d’exploitation », préviennent Lecigne et Stone.
Attaqué depuis au moins janvier 2021
Cette campagne est similaire à une précédente dévoilée en janvier 2021, qui utilisait également Twitter et d’autres plateformes de médias sociaux comme LinkedIn, Telegram, Discord et Keybase comme vecteur de contact initial, vraisemblablement orchestré par les mêmes acteurs.
Dans ces attaques, les auteurs de la menace nord-coréenne ont également utilisé le système Zero Day pour infecter les systèmes Windows 10 entièrement corrigés des chercheurs en sécurité avec des portes dérobées et des logiciels malveillants voleurs d’informations.
Microsoft a également signalé avoir suivi les attaques de janvier 2021 et avoir vu des opérateurs du groupe Lazarus infecter les appareils des chercheurs à l’aide de fichiers MHTML contenant du code JavaScript malveillant.
En mars 2021, Google TAG a révélé que les attaques avaient repris, ciblant des chercheurs en sécurité utilisant de faux comptes de réseaux sociaux LinkedIn et Twitter et une fausse société nommée SecuriElite.
Plus tôt cette année, en mars, Mandiant a également repéré et dénoncé un groupe de piratage informatique présumé nord-coréen attaquant des chercheurs en sécurité et des médias aux États-Unis et en Europe en utilisant de fausses offres d’emploi pour les infecter avec de nouveaux logiciels malveillants.
Bien que Google n’ait pas explicitement défini les objectifs de ces attaques, leur objectif principal semble être l’acquisition de failles de sécurité et d’exploits non divulgués en ciblant des chercheurs spécifiques.