Au cours des dernières semaines, les acteurs menaçants associés à la Corée du Nord continuent de cibler la communauté de la cybersécurité en utilisant un bug zero-day dans un logiciel non spécifié pour infiltrer leurs machines.
Les conclusions proviennent du Threat Analysis Group (TAG) de Google, qui a découvert que l’adversaire créait de faux comptes sur des plateformes de médias sociaux comme X (anciennement Twitter) et Mastodonte pour nouer des relations avec des cibles potentielles et instaurer la confiance.
« Dans un cas, ils ont eu une conversation de plusieurs mois, tentant de collaborer avec un chercheur en sécurité sur des sujets d’intérêt commun », ont déclaré les chercheurs en sécurité Clement Lecigne et Maddie Stone. dit. « Après un premier contact via X, ils ont migré vers une application de messagerie cryptée telle que Signal, WhatsApp ou Wire. »
L’exercice d’ingénierie sociale ouvre finalement la voie à un fichier malveillant contenant au moins un jour zéro dans un progiciel populaire. La vulnérabilité est actuellement en cours de correction.
La charge utile, pour sa part, effectue un certain nombre de vérifications anti-machine virtuelle (VM) et transmet les informations collectées, accompagnées d’une capture d’écran, à un serveur contrôlé par un attaquant.
Une recherche sur X montre que le compte désormais suspendu est actif depuis au moins octobre 2022, avec l’acteur libération code d’exploitation de preuve de concept (PoC) pour haute gravité failles d’élévation de privilèges dans le noyau Windows tel que CVE-2021-34514 et CVE-2022-21881.
Ce n’est pas la première fois que des acteurs nord-coréens exploitent des leurres sur le thème de la collaboration pour infecter leurs victimes. En juillet 2023, GitHub a divulgué les détails d’une campagne NPM dans laquelle des adversaires identifiés comme TraderTraitor (alias Jade Sleet) ont utilisé de faux personnages pour cibler le secteur de la cybersécurité, entre autres.
« Après avoir établi le contact avec une cible, l’acteur malveillant invite la cible à collaborer sur un référentiel GitHub et convainc la cible de cloner et d’exécuter son contenu », avait alors déclaré la société appartenant à Microsoft.
Google TAG a déclaré avoir également trouvé un outil Windows autonome nommé « GetSymbol » développé par les attaquants et hébergé sur GitHub comme vecteur d’infection secondaire potentiel. Il a été bifurqué 23 fois à ce jour.
Le logiciel truqué, publié sur GitHub en septembre 2022 et désormais supprimé, offre un moyen de « télécharger » symboles de débogage des serveurs de symboles Microsoft, Google, Mozilla et Citrix pour l’ingénierie inverse.
Mais il offre également la possibilité de télécharger et d’exécuter du code arbitraire à partir d’un domaine de commande et de contrôle (C2).
La divulgation intervient alors que l’AhnLab Security Emergency Response Center (ASEC) révélé que l’acteur étatique nord-coréen connu sous le nom de ScarCruft exploite les leurres de fichiers LNK dans les e-mails de phishing pour fournir une porte dérobée capable de récolter des données sensibles et d’exécuter des instructions malveillantes.
Il en résulte également nouvelles découvertes de Microsoft que « plusieurs acteurs nord-coréens ont récemment ciblé le gouvernement russe et l’industrie de la défense – probablement pour la collecte de renseignements – tout en fournissant simultanément un soutien matériel à la Russie dans sa guerre contre l’Ukraine ».
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Le ciblage des entreprises de défense russes a également été souligné par SentinelOne le mois dernier, qui a révélé que Lazarus Group (alias Diamond Sleet ou Labyrinth Chollima) et ScarCruft (alias Ricochet Chollima ou Ruby Sleet) ont violé NPO Mashinostroyeniya, une société russe d’ingénierie de missiles, pour faciliter la collecte de renseignements.
Les deux acteurs ont également été observés en train d’infiltrer des entreprises de fabrication d’armes basées en Allemagne et en Israël de novembre 2022 à janvier 2023, sans oublier de compromettre un institut de recherche aérospatiale en Russie ainsi que des entreprises de défense au Brésil, en Tchéquie, en Finlande, en Italie, en Norvège et en Israël. Pologne depuis le début de l’année.
« Cela suggère que le gouvernement nord-coréen assigne simultanément plusieurs groupes d’acteurs menaçants pour répondre aux exigences de collecte hautement prioritaires afin d’améliorer les capacités militaires du pays », a déclaré le géant de la technologie.
Plus tôt cette semaine, le Federal Bureau of Investigation (FBI) des États-Unis impliqué le groupe Lazarus comme étant à l’origine du vol de 41 millions de dollars en monnaie virtuelle sur Stake.com, un casino et plateforme de paris en ligne.
Il a indiqué que les fonds volés associés aux réseaux Ethereum, Binance Smart Chain (BSC) et Polygon de Stake.com ont été déplacés vers 33 portefeuilles différents vers le 4 septembre 2023.
« Les acteurs nord-coréens de la cybermenace mènent des cyber-opérations visant à (1) recueillir des renseignements sur les activités des adversaires perçus par l’État : la Corée du Sud, les États-Unis et le Japon, (2) recueillir des renseignements sur les capacités militaires d’autres pays pour améliorer les leurs. , et (3) collecter des fonds en crypto-monnaie pour l’État », a déclaré Microsoft.