Fin janvier 2021, l'équipe d'analyse des menaces de Google a révélé qu'un groupe de pirates nord-coréens visait des chercheurs en sécurité en ligne, notamment ceux travaillant sur les vulnérabilités et les exploits.
Microsoft confirme aujourd'hui suivre ce même groupe de hackers de la RPDC, comme détaillé dans un rapport récent.
Dans un rapport publié sur le blog Microsoft Security, l'équipe Microsoft Threat Intelligence expose ses observations sur ce groupe lié à la RPDC. Microsoft le désigne sous le nom de « ZINC », tandis que d'autres experts en sécurité l'appellent plus communément « Lazarus ».
Les rapports de Google et Microsoft décrivent une campagne utilisant les réseaux sociaux pour initier des échanges anodins avec des chercheurs en sécurité, avant d'envoyer des fichiers infectés par une porte dérobée.
Ce groupe gère de multiples comptes sur Twitter, LinkedIn, Telegram, Keybase, Discord et d'autres plateformes. Ces comptes diffusent progressivement des informations légitimes sur la sécurité pour se forger une crédibilité. Ils contactent ensuite les chercheurs avec des questions précises sur leurs travaux.
En cas de réponse, les hackers tentent de déplacer la conversation vers Discord ou des e-mails.
Une fois le canal établi, ils envoient un projet Visual Studio compromis, espérant que la victime l'exécute sans vérification.
Les pirates ont masqué le malware au sein du projet, en remplaçant un fichier de base de données standard par une DLL malveillante et en utilisant diverses techniques d'obfuscation.
Selon Google, la porte dérobée n'est pas la seule méthode d'attaque.
En plus du ciblage par ingénierie sociale, nous avons observé plusieurs cas où des chercheurs ont été compromis après une visite sur le blog des acteurs. Ils ont suivi un lien Twitter vers un article hébergé sur blog.br0vvnn[.]io, et peu après, un service malveillant s'est installé, avec une porte dérobée en mémoire communiquant vers un serveur de commande et de contrôle.
Microsoft soupçonne un exploit zero-day du navigateur Chrome hébergé sur ce blog, bien que non encore vérifié. Les deux entreprises estiment qu'un zero-day a été employé pour cette attaque.
Cette campagne vise spécifiquement les chercheurs en détection de menaces et en vulnérabilités.
Le risque pour le grand public reste faible pour ce type d'attaque sophistiquée. Cependant, il est essentiel de maintenir navigateur et antivirus à jour, et d'éviter les liens suspects sur les réseaux sociaux.
[]