Chercheurs de sécurité ciblant Google et Microsoft ID
Des chercheurs en sécurité sont attaqués par un groupe qui serait associé à la Corée du Nord, selon les annonces de cette semaine par Google et Microsoft.
Les attaquants utilisent les médias sociaux, de faux blogs de recherche et des sites Web pour se faire passer pour des chercheurs légitimes. Soit ils infectent les navigateurs via leurs sites et blogs, soit ils partagent des projets Visual Studio contenant des logiciels malveillants pour prendre pied, en ciblant les systèmes Windows. L’objectif, comme le supposait Microsoft, est de voler des informations aux chercheurs en sécurité.
Zero Day?
Google a décrit comment des infections de logiciels malveillants se sont produites après que les chercheurs ont visité l’un des blogs du groupe. Il n’est pas clair pour Google comment le malware a pris racine, donc une vulnérabilité apparente « zero-day » peut être impliquée.
Voici la description de l’incident par Google:
Au moment de ces visites, les systèmes victimes exécutaient des versions de navigateur Windows 10 et Chrome entièrement corrigées et à jour. Pour le moment, nous ne sommes pas en mesure de confirmer le mécanisme de compromis, mais nous nous félicitons de toute information que d’autres pourraient avoir.
L’annonce de Microsoft, qui a appelé le groupe d’attaque «ZINC», contient des informations supplémentaires sur la façon dont le groupe a utilisé les fichiers de projet Visual Studio pour déposer un fichier de bibliothèque de liens dynamiques malveillants sur le système de la victime. Le malware largué a été identifié comme « Comebacker » et a été utilisé pour créer un centre de commande et de contrôle sur le système de la victime. Les attaquants partageaient généralement ces fichiers de projet Visual Studio avec les chercheurs qui avaient gagné leur confiance.
La campagne d’attaque peut être détectée à l’aide du service Microsoft Defender for Endpoint, a indiqué Microsoft.
Conseils de protection
Google et Microsoft ont fourni une liste des sites, des personnages et des identifiants Twitter de l’attaquant, avertissant les chercheurs s’ils avaient interagi avec eux. Ils ont également énuméré divers indicateurs de compromis.
Google a recommandé aux chercheurs d’utiliser une machine virtuelle pour se protéger contre de telles attaques:
Si vous craignez d’être ciblé, nous vous recommandons de compartimenter vos activités de recherche en utilisant des machines physiques ou virtuelles distinctes pour la navigation Web générale, interagir avec d’autres membres de la communauté de recherche, accepter les fichiers de tiers et vos propres recherches sur la sécurité.
Microsoft a suggéré que les chercheurs en sécurité devraient rechercher les logiciels malveillants et autres indicateurs de compromission associés aux attaquants, ce qui indiquerait un «compromis complet» s’il est trouvé:
Si vous avez visité le blog référencé appartenant au ZINC (br0vvnn[.]io), vous devez immédiatement lancer une analyse antimalware complète et utiliser les IOC fournis pour vérifier les intrusions dans vos systèmes. Si une analyse ou une recherche des IOC trouve des logiciels malveillants associés sur vos systèmes, vous devez supposer une compromission complète et une reconstruction.
L’idée que les attaquants ont travaillé pour la Corée du Nord est « basée sur les métiers observés, l’infrastructure, les modèles de logiciels malveillants et les affiliations de comptes », a indiqué Microsoft.
A propos de l’auteur
Kurt Mackie est producteur principal de nouvelles pour le groupe Converge360 de 1105 Media.
.
