Le groupe d’analyse des menaces (TAG) de Google a r\u00e9v\u00e9l\u00e9 jeudi qu’il avait agi pour att\u00e9nuer les menaces de deux groupes d’attaquants distincts soutenus par le gouvernement bas\u00e9s en Cor\u00e9e du Nord qui exploitaient une faille d’ex\u00e9cution de code \u00e0 distance r\u00e9cemment d\u00e9couverte dans le navigateur Web Chrome.<\/p>\n
Les campagnes, une fois de plus “refl\u00e9tant les pr\u00e9occupations et les priorit\u00e9s imm\u00e9diates du r\u00e9gime”, auraient cibl\u00e9 des organisations bas\u00e9es aux \u00c9tats-Unis couvrant les secteurs des m\u00e9dias d’information, de l’informatique, de la crypto-monnaie et de la fintech, un ensemble d’activit\u00e9s partageant des chevauchements directs d’infrastructure avec des attaques pr\u00e9c\u00e9dentes visant \u00e0 des chercheurs en s\u00e9curit\u00e9 l’ann\u00e9e derni\u00e8re.<\/p>\n
La vuln\u00e9rabilit\u00e9 en question est CVE-2022-0609, une vuln\u00e9rabilit\u00e9 d’utilisation apr\u00e8s lib\u00e9ration dans le composant d’animation du navigateur que Google a corrig\u00e9 dans le cadre des mises \u00e0 jour (version 98.0.4758.102) publi\u00e9es le 14 f\u00e9vrier 2022. C’est aussi le premier jour z\u00e9ro. faille corrig\u00e9e par le g\u00e9ant de la tech depuis d\u00e9but 2022.<\/p>\n
![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Le-celebre-gang-de-logiciels-malveillants-TrickBot-ferme-son-infrastructure.png\")
<\/a><\/div>\n“La premi\u00e8re preuve que nous ayons du d\u00e9ploiement actif de ce kit d’exploit date du 4 janvier 2022”, a d\u00e9clar\u00e9 Adam Weidemann, chercheur chez Google TAG. mentionn\u00e9<\/a> dans un rapport. “Nous soup\u00e7onnons que ces groupes travaillent pour la m\u00eame entit\u00e9 avec une cha\u00eene d’approvisionnement partag\u00e9e, d’o\u00f9 l’utilisation du m\u00eame kit d’exploit, mais chacun op\u00e8re avec un ensemble de missions diff\u00e9rent et d\u00e9ploie des techniques diff\u00e9rentes.”<\/p>\n La premi\u00e8re campagne, coh\u00e9rente avec les TTP associ\u00e9s \u00e0 ce que la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 ClearSky a d\u00e9crit comme “Op\u00e9ration Emploi de R\u00eave<\/a>” en ao\u00fbt 2020, \u00e9tait dirig\u00e9e contre plus de 250 personnes travaillant pour 10 m\u00e9dias d’information, registraires de domaine, fournisseurs d’h\u00e9bergement Web et \u00e9diteurs de logiciels diff\u00e9rents, les attirant avec de fausses offres d’emploi d’entreprises comme Disney, Google et Oracle.<\/p>\n L’utilisation de fausses listes d’emplois est une tactique \u00e9prouv\u00e9e du groupe Lazarus, qui, plus t\u00f4t en janvier, a \u00e9t\u00e9 d\u00e9couvert en train de se faire passer pour la soci\u00e9t\u00e9 am\u00e9ricaine de s\u00e9curit\u00e9 mondiale et d’a\u00e9rospatiale Lockheed Martin pour distribuer des charges utiles de logiciels malveillants aux personnes \u00e0 la recherche d’un emploi dans l’industrie a\u00e9rospatiale et de la d\u00e9fense. .<\/p>\n “Le double sc\u00e9nario d’espionnage et de vol d’argent est unique \u00e0 la Cor\u00e9e du Nord, qui exploite des unit\u00e9s de renseignement qui volent \u00e0 la fois des informations et de l’argent pour leur pays”, ont not\u00e9 \u00e0 l’\u00e9poque les chercheurs de ClearSky.<\/p>\n Le deuxi\u00e8me groupe d’activit\u00e9s qui aurait exploit\u00e9 le m\u00eame jour z\u00e9ro de Chrome concerne l’op\u00e9ration AppleJeus, qui a compromis au moins deux sites Web l\u00e9gitimes de soci\u00e9t\u00e9s de technologie financi\u00e8re pour servir l’exploit \u00e0 pas moins de 85 utilisateurs.<\/p>\n le trousse d’exploitation<\/a>selon Google TAG, est con\u00e7u comme une cha\u00eene d’infection en plusieurs \u00e9tapes qui consiste \u00e0 int\u00e9grer le code d’attaque dans des cadres Internet cach\u00e9s sur les sites Web compromis ainsi que sur les sites Web escrocs sous leur contr\u00f4le.<\/p>\n “Dans d’autres cas, nous avons observ\u00e9 de faux sites Web – d\u00e9j\u00e0 configur\u00e9s pour distribuer des applications de crypto-monnaie trojanis\u00e9es – h\u00e9bergeant iframes<\/a> et diriger leurs visiteurs vers le kit d’exploit \u00bb, a d\u00e9clar\u00e9 Weidemann.<\/p>\n L’\u00e9tape initiale comprenait une phase de reconnaissance pour identifier les machines cibl\u00e9es, suivie de la diffusion de l’exploit d’ex\u00e9cution de code \u00e0 distance (RCE), qui, en cas de succ\u00e8s, a conduit \u00e0 la r\u00e9cup\u00e9ration d’un package de deuxi\u00e8me \u00e9tape con\u00e7u pour \u00e9chapper au bac \u00e0 sable et effectuer d’autres activit\u00e9s post-exploitation.<\/p>\n Google TAG, qui a d\u00e9couvert les campagnes le 10 f\u00e9vrier, a not\u00e9 qu’il \u00e9tait “incapable de r\u00e9cup\u00e9rer l’une des \u00e9tapes qui ont suivi le RCE initial”, soulignant que les acteurs de la menace ont utilis\u00e9 plusieurs garanties, y compris l’utilisation du cryptage AES, con\u00e7u explicitement pour brouiller les pistes et entraver la reprise des \u00e9tapes interm\u00e9diaires.<\/p>\n De plus, les campagnes ont v\u00e9rifi\u00e9 les visiteurs utilisant des navigateurs non bas\u00e9s sur Chromium tels que Safari sur macOS ou Mozilla Firefox (sur n’importe quel syst\u00e8me d’exploitation), redirigeant les victimes vers des liens sp\u00e9cifiques sur des serveurs d’exploitation connus. Il n’est pas imm\u00e9diatement clair si l’une de ces tentatives a \u00e9t\u00e9 fructueuse.<\/p>\n Les d\u00e9couvertes arrivent alors que la soci\u00e9t\u00e9 de renseignement sur les menaces Mandiant cartographi\u00e9<\/a> diff\u00e9rents sous-groupes Lazarus \u00e0 diverses organisations gouvernementales en Cor\u00e9e du Nord, notamment le Bureau g\u00e9n\u00e9ral de reconnaissance, le D\u00e9partement du front uni (UFD) et le minist\u00e8re de la S\u00e9curit\u00e9 d’\u00c9tat (MSS).<\/p>\n Lazare est le surnom de parapluie faisant collectivement r\u00e9f\u00e9rence aux op\u00e9rations d’espionnage provenant du royaume ermite fortement sanctionn\u00e9, de la m\u00eame mani\u00e8re Winnti<\/a> et MuddyWater fonctionnent comme un conglom\u00e9rat de plusieurs \u00e9quipes pour aider la Chine et l’Iran \u00e0 atteindre leurs objectifs g\u00e9opolitiques et de s\u00e9curit\u00e9 nationale.<\/p>\n “L’appareil de renseignement de la Cor\u00e9e du Nord poss\u00e8de la flexibilit\u00e9 et la r\u00e9silience n\u00e9cessaires pour cr\u00e9er des cyber-unit\u00e9s bas\u00e9es sur les besoins du pays”, ont d\u00e9clar\u00e9 les chercheurs de Mandiant. “De plus, des chevauchements dans l’infrastructure, les logiciels malveillants et les tactiques, techniques et proc\u00e9dures indiquent qu’il existe des ressources partag\u00e9es entre leurs cyber-op\u00e9rations.”<\/p>\n <\/p>\n<\/div>\n<\/a><\/div>\n