Les pirates nord-coréens attirent les professionnels avec un « battage médiatique sur la vulnérabilité du jour zéro ».
Twitter a suspendu les comptes appartenant à un groupe de piratage nord-coréen ciblant des chercheurs en sécurité.
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite
Les comptes de réseaux sociaux @lagal1990 et @shiftrows13 ont été suspendus ce mois-ci après s'être « fait passer pour des chercheurs en sécurité », selon Adam Weidermann, analyste du Google Threat Analysis Group (TAG). qui a ajouté que les profils "s'appuyaient sur le battage médiatique des jours 0 pour gagner des abonnés et renforcer leur crédibilité".
Comme l'a noté Message de menace, un autre compte, @lagal1990, a été fermé pour la même raison en août.
La campagne, qui serait l'œuvre de cyberattaquants nord-coréens parrainés par l'État, a été suivie par l'équipe Google TAG au cours de l'année écoulée.
Documenté pour la première fois dans janvier 2021, la campagne comprend la création d'un réseau de faux profils sur des plateformes telles que Twitter, LinkedIn, Keybase et GitHub.
Les faux profils misent sur l'intérêt porté aux exploits et aux bugs du jour zéro pour établir une aura de crédibilité et publieront du contenu tel que du code de preuve de concept (PoC) et des techniques d'exploitation.
Selon Weidermann, les faux comptes ont été découverts par les chercheurs Francisco Alonso et Javier Marcos.
"Nous (TAG) avons confirmé qu'ils sont directement liés au groupe de comptes sur lesquels nous avons blogué plus tôt cette année", a déclaré Weidermann. commenté. "Dans le cas de @lagal1990, ils ont renommé un compte GitHub qui appartenait auparavant à un autre de leurs profils Twitter et qui a été fermé en août, @mavillon1."
Le groupe de comptes est utilisé pour atteindre les cibles visées, notamment des chercheurs en sécurité bien connus et crédibles. Un blog de recherche a également été publié en ligne et des vidéos ont été mises en ligne, prétendant être des preuves d'exploits et de bugs.
"Ils ont utilisé ces profils Twitter pour publier des liens vers leur blog, publier des vidéos de leurs revendications exploits, et pour amplifier et retweeter les publications d'autres comptes qu'ils contrôlent, "Google TAG dit.
Cependant, une fois la communication établie, le groupe nord-coréen demande alors à ses cibles si elles sont intéressées à collaborer à des recherches sur la sécurité.
Des liens sont ensuite envoyés aux chercheurs vers un blog contenant des exploits de navigateur, notamment un zero-day d'Internet Explorer démasqué en janvier. Alternativement, ils peuvent également recevoir un fichier de projet Visual Studio malveillant contenant une porte dérobée, permettant aux attaquants d'accéder à la machine de leur victime et aux informations qu'elle contient.
En mars, le groupe a créé un faux réseau turc entreprise de sécurité offensive baptisé SecuriElite, avec un lot de profils liés à cette firme se faisant passer pour des chercheurs et recruteurs en cybersécurité.
La semaine dernière, Google TAG a documenté ses efforts pour contrer les attaques à partir d'APT35, un groupe iranien spécialisé dans les campagnes de phishing contre les utilisateurs à haut risque de Google, notamment les membres du personnel de campagne lors des élections américaines de 2020.
Couverture antérieure et connexe
-
Google: des pirates informatiques nord-coréens ciblent les chercheurs via une fausse société de sécurité offensive
-
Google: nous envoyons beaucoup plus d'avertissements concernant les attaques de phishing et de logiciels malveillants: voici pourquoi
-
Google: des pirates informatiques nord-coréens ont ciblé des chercheurs en sécurité via les réseaux sociaux
Vous avez un conseil ? Contactez-nous en toute sécurité via WhatsApp | Signalez au +447713 025 499, ou sur Keybase: charlie0