North Korean Hackers

Google a révélé lundi des détails sur une campagne en cours menée par un acteur de la menace soutenu par le gouvernement de Corée du Nord qui a ciblé des chercheurs en sécurité travaillant sur la recherche et le développement de vulnérabilités.

Le groupe d’analyse des menaces (TAG) du géant de l’Internet a déclaré que l’adversaire avait créé un blog de recherche et plusieurs profils sur diverses plateformes de médias sociaux telles que Twitter, Twitter, LinkedIn, Telegram, Discord et Keybase dans le but de communiquer avec les chercheurs et de renforcer la confiance.

L’objectif, semble-t-il, est de voler des exploits développés par les chercheurs pour des vulnérabilités éventuellement non révélées, leur permettant ainsi de lancer de nouvelles attaques sur des cibles vulnérables de leur choix.

Auditeur De Mot De Passe

« Leur blog contient des articles et des analyses de vulnérabilités qui ont été divulguées publiquement, y compris des articles » invités « de chercheurs légitimes involontaires en sécurité, probablement dans le but de renforcer la crédibilité auprès d’autres chercheurs en sécurité », m’a dit Adam Weidemann, chercheur TAG.

Dans un cas, l’acteur a utilisé Twitter pour partager une vidéo YouTube de ce qu’il prétendait être un exploit pour une faille Windows Defender récemment corrigée (CVE-2021-1647), alors qu’en réalité, l’exploit s’est avéré être un faux.

Publicité
Twitter

Les hackers nord-coréens auraient également utilisé une «nouvelle méthode d’ingénierie sociale» pour frapper les chercheurs en sécurité en leur demandant s’ils souhaitaient collaborer ensemble à la recherche de vulnérabilités, puis fournir à l’individu ciblé un projet Visual Studio.

Ce projet Visual Studio, en plus de contenir le code source pour exploiter la vulnérabilité, comprenait un malware personnalisé qui établit la communication avec un serveur de commande et de contrôle à distance (C2) pour exécuter des commandes arbitraires sur le système compromis.

De plus, TAG a déclaré avoir observé plusieurs cas où des chercheurs ont été infectés après avoir visité le blog de recherche, à la suite desquels un service malveillant a été installé sur la machine, et une porte dérobée en mémoire commencerait à être signalée à un serveur C2.

Security Reseachers

Avec les systèmes victimes exécutant des versions entièrement corrigées et à jour de Windows 10 et du navigateur Web Chrome, le mécanisme exact du compromis reste inconnu. Mais on soupçonne que l’acteur de la menace a probablement exploité les vulnérabilités zero-day dans Windows 10 et Chrome pour déployer le malware.

« Si vous craignez d’être ciblé, nous vous recommandons de compartimenter vos activités de recherche en utilisant des machines physiques ou virtuelles distinctes pour la navigation générale sur le Web, en interagissant avec d’autres membres de la communauté de recherche, en acceptant des fichiers de tiers et en effectuant vos propres recherches sur la sécurité », Dit Weidemann.


Rate this post
Publicité
Article précédentAtalanta vs Lazio Preview et prévisions en direct Serie Tim A 2021
Article suivantLes éditeurs ont la possibilité de changer Google et Facebook
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici