Shadow

Google met en garde les utilisateurs contre le ciblage de groupes de pirates nord-coréens avec des logiciels malveillants

Comme Google l’a révélé ce soir, le groupe d’analyse des menaces de Google, un groupe de piratage basé au gouvernement nord-coréen cible les chercheurs en sécurité et infecte leurs systèmes avec un malware de porte dérobée personnalisé.

Les analystes de logiciels malveillants l’ont observé alors qu’ils se concentraient sur la vulnérabilité et exploitaient le développement via les réseaux sociaux. Selon eux, les acteurs de la menace créent de faux profils Twitter et utilisent ces comptes pour contacter des chercheurs en sécurité cibles sur les réseaux sociaux, comme Twitter, LinkedIn, Telegram, Discord, Keybase et e-mail en les déguisant en chercheurs en sécurité.

Dans le cadre de ce faux bâtiment de personnage, les acteurs malveillants montrent des articles liés aux vulnérabilités existantes ou créent des vidéos liées aux PoC qu’ils auraient développés avec leur publication.

 Google a déclaré: « Plusieurs commentaires sur YouTube ont identifié que la vidéo était falsifiée et qu’aucun exploit fonctionnel n’avait été démontré. Une fois ces commentaires faits, les acteurs ont utilisé un deuxième compte Twitter (qu’ils contrôlent) pour retweeter le message original et affirmer que ce n’était «pas une fausse vidéo».

Les acteurs de la menace visaient à établir un contact avec les chercheurs en sécurité. Lorsqu’ils ont réussi, ils leur ont demandé de collaborer avec eux sur la recherche de vulnérabilité ou le développement d’exploitation. Et dans le cadre de cette collaboration, ils ont envoyé un projet Visual Studio contenant l’exploit PoC ainsi qu’un fichier DLL malveillant nommé vcxproj.suo.

Lorsque le chercheur a essayé cette version, une commande PowerShell a été automatiquement exécutée pour vérifier si le système fonctionne sur les versions 64 bits de Windows 10, Windows Server 2019 et Windows Server 2016. Lorsque la vérification est réussie, le fichier malveillant s’exécute certains Commandes PowerShell via rundll32.exe pour établir une connexion à distance à leurs serveurs.

Google affirme que certains chercheurs ont contracté l’infection simplement après avoir consulté un article sur le site blog.brovvnn.io des auteurs de la menace. À l’heure actuelle, les chercheurs ont entièrement corrigé les appareils Windows 10 avec le dernier Google Chrome en corrigeant les vulnérabilités zero-day à l’origine du problème.

 Bien que l’objectif ultime des escrocs ne soit pas particulièrement indiqué, il est probable qu’ils visent à voler des vulnérabilités de sécurité non divulguées et à exploiter en fonction des utilisateurs ciblés. Les conseils suivants sont proposés par Google aux utilisateurs qui ont des inquiétudes concernant ce groupe de piratage qui les cible:

«Si vous craignez d’être ciblé, nous vous recommandons de compartimenter vos activités de recherche en utilisant des machines physiques ou virtuelles distinctes pour la navigation générale sur le Web, en interagissant avec d’autres membres de la communauté de recherche, en acceptant les fichiers de tiers et en effectuant vos propres recherches sur la sécurité.