Campagne nord-coréenne visant les chercheurs en sécurité

 (blog.google)
2 points par GN⁺ 2023-09-08 | 1 commentaires | Partager sur WhatsApp
  • Le Threat Analysis Group (TAG) de Google a signalé une campagne persistante menée par des acteurs soutenus par le gouvernement nord-coréen visant des chercheurs en sécurité.
  • Cette campagne a été révélée pour la première fois en janvier 2021 et exploite des vulnérabilités zero-day contre des chercheurs travaillant sur la recherche et le développement de vulnérabilités.
  • TAG suit et perturbe ces campagnes depuis plus de deux ans, tout en recherchant des zero-day pour protéger les utilisateurs en ligne.
  • Récemment, TAG a identifié une nouvelle campagne provenant des mêmes acteurs, sur la base de similitudes avec la campagne précédente.
  • Au moins une vulnérabilité zero-day activement exploitée a été utilisée contre des chercheurs en sécurité au cours des dernières semaines. Cette vulnérabilité a été signalée au fournisseur concerné et est actuellement en cours de correction.
  • Les acteurs de la menace nord-coréens utilisent des sites de réseaux sociaux pour établir une relation avec leurs cibles, souvent au moyen de longues conversations et en essayant de collaborer autour d'intérêts communs.
  • Après avoir établi une relation avec les chercheurs ciblés, les acteurs de la menace envoient des fichiers malveillants contenant au moins un zero-day dans des packages logiciels populaires.
  • Après une exploitation réussie, le shellcode effectue des vérifications de machine virtuelle puis envoie les informations collectées et des captures d'écran vers un domaine de commande et contrôle contrôlé par les attaquants.
  • En plus de cibler les chercheurs à l'aide de vulnérabilités zero-day, les acteurs de la menace ont développé un outil Windows autonome qui semble utile pour télécharger des informations de symboles, mais qui peut aussi télécharger et exécuter du code arbitraire depuis un domaine contrôlé par les attaquants.
  • TAG recommande, si cet outil a été téléchargé ou exécuté, de prendre des mesures préventives pour vérifier que le système se trouve dans un état sain connu, ce qui nécessitera une réinstallation du système d'exploitation.
  • TAG utilise les résultats de ses recherches pour améliorer la sûreté et la sécurité des produits Google, et ajoute tous les sites web et domaines identifiés à Safe Browsing afin d'empêcher que les utilisateurs continuent d'être exploités.
  • TAG envoie des alertes concernant des attaquants soutenus par un gouvernement aux utilisateurs de Gmail et Workspace, et recommande aux cibles potentielles d'activer Enhanced Safe Browsing dans Chrome et de mettre à jour tous leurs appareils.
  • TAG s'engage à partager ses résultats de recherche avec la communauté de la sécurité afin de renforcer la sensibilisation et d'améliorer la compréhension des stratégies et techniques, contribuant ainsi à renforcer la protection des utilisateurs dans l'ensemble du secteur.

À lire aussi

1 commentaires

 
GN⁺ 2023-09-08
Commentaires Hacker News
  • L’outil malveillant getsymbol sur GitHub a reçu 214 étoiles, mais aucun bandeau d’avertissement n’est affiché. Il est proposé que GitHub ajoute des avertissements pour d’autres logiciels connus pour contenir des portes dérobées.
  • Une question a été soulevée sur la manière dont les Nord-Coréens évitent d’être exposés à des médias qui contredisent les médias d’État, alors même qu’ils disposent d’un accès non restreint à Internet et d’une bonne compréhension de l’anglais.
  • Des inquiétudes ont été exprimées quant à la légitimité de sites de téléchargement populaires comme les binaires Windows de ffmpeg, ainsi qu’à la possibilité que des acteurs étatiques utilisent des téléchargements hébergés de manière non officielle.
  • L’utilisation de 0days contre des chercheurs en sécurité par la Corée du Nord semble être un test, avec l’avantage potentiel d’obtenir davantage de 0days auprès des chercheurs visés.
  • L’hypothèse a été avancée que les récentes mises à jour de sécurité de macOS sont liées à la vulnérabilité en cours de discussion.
  • Des doutes ont été exprimés quant à la probabilité qu’un chercheur en sécurité exécute un binaire Windows reçu d’une source inconnue ; il a été suggéré qu’il serait plus probable qu’il examine ce binaire dans un environnement plus sûr.
  • Une question a été posée sur la manière dont il a été déterminé que la menace provenait de la Corée du Nord.
  • Il est affirmé que tous les sites web et domaines vérifiés sont ajoutés à Safe Browsing, bien que le site dbgsymbol.com n’apparaisse pas avec un avertissement dans Safe Browsing de Brave.
  • Un ancien responsable du renseignement a averti qu’il ne faut pas sous-estimer les capacités techniques de la Corée du Nord ni sa capacité à recruter des personnes intelligentes et travailleuses.
  • Il est suggéré d’éviter d’indiquer la sécurité comme intitulé de poste sur LinkedIn si l’on travaille dans un rôle lié à la sécurité.