Vers la fin du mois de janvier 2021, le groupe d'analyse des menaces de Google a révélé qu'un groupe de pirates nord-coréens ciblait les chercheurs en sécurité en ligne, recherchant spécifiquement ceux qui travaillaient sur les vulnérabilités et les exploits.
Maintenant, Microsoft a confirmé qu'il suivait également l'équipe de piratage de la RPDC, révélée dans un rapport récemment publié.
Dans un rapport publié sur le blog Microsoft Security, l'équipe Microsoft Threat Intelligence détaille ses connaissances sur le groupe de piratage lié à la RPDC. Microsoft suit le groupe de piratage sous le nom de "ZINC", tandis que d'autres chercheurs en sécurité optent pour le nom plus connu de "Lazarus".
Les rapports de Google et de Microsoft expliquent que la campagne en cours utilise les médias sociaux pour entamer des conversations normales avec des chercheurs en sécurité avant de leur envoyer des fichiers contenant une porte dérobée.
L'équipe de piratage gère plusieurs comptes Twitter (ainsi que LinkedIn, Telegram, Keybase, Discord et d'autres plates-formes), qui publient lentement des informations légitimes sur la sécurité, se forgeant une réputation de source fiable. Après un certain temps, les comptes contrôlés par les acteurs contactaient les chercheurs en sécurité, leur posant des questions spécifiques sur leurs recherches.
Si le chercheur en sécurité répondait, le groupe de piratage tenterait de déplacer la conversation sur une autre plate-forme, telle que Discord ou les e-mails.
Une fois la nouvelle méthode de communication établie, l'auteur de la menace enverrait un projet Visual Studio compromis en espérant que le chercheur en sécurité exécuterait le code sans analyser le contenu.
L'équipe de piratage nord-coréenne s'est donné beaucoup de mal pour dissimuler le fichier malveillant dans le projet Visual Studio, en remplaçant un fichier de base de données standard par une DLL malveillante, ainsi que d'autres méthodes d'obscurcissement.
Selon le rapport de Google sur la campagne, la porte dérobée malveillante n'est pas la seule méthode d'attaque.
En plus de cibler les utilisateurs via l'ingénierie sociale, nous avons également observé plusieurs cas où des chercheurs ont été compromis après avoir visité le blog des acteurs. Dans chacun de ces cas, les chercheurs ont suivi un lien sur Twitter vers un article hébergé sur blog.br0vvnn[.]io, et peu de temps après, un service malveillant a été installé sur le système du chercheur et une porte dérobée en mémoire a commencé. balisage vers un serveur de commande et de contrôle appartenant à un acteur.
Microsoft pense qu'"un exploit du navigateur Chrome était probablement hébergé sur le blog", bien que cela n'ait pas encore été vérifié par l'une ou l'autre des équipes de recherche. De plus, Microsoft et Google pensent qu'un exploit zero-day a été utilisé pour compléter ce vecteur d'attaque.
La menace immédiate de cette attaque concerne les chercheurs en sécurité. La campagne a spécifiquement ciblé les chercheurs en sécurité impliqués dans la détection des menaces et la recherche sur les vulnérabilités.
Comme on le voit souvent avec des attaques très ciblées de cette nature, la menace pour le grand public reste faible. Cependant, garder votre navigateur et vos programmes antivirus à jour est toujours une bonne idée, tout comme ne pas cliquer et suivre des liens aléatoires sur les réseaux sociaux.
