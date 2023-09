Le groupe d'analyse des menaces (TAG) de Google a révélé des détails sur une cyber-campagne provenant de Corée du Nord qui cible spécifiquement les chercheurs en sécurité. La campagne, surveillée depuis janvier 2021, implique de multiples attaques et l'exploitation d'au moins une vulnérabilité zero-day. Bien que Google n'ait pas divulgué les détails de la vulnérabilité ni le logiciel concerné, la société a signalé le problème au fournisseur, qui travaille actuellement sur un correctif.

Dans ces attaques, les auteurs de la menace établissent une communication avec les chercheurs en sécurité via les plateformes de réseaux sociaux avant de passer aux applications de messagerie cryptées. Une fois la confiance établie, les attaquants diffusent des fichiers malveillants contenant des vulnérabilités zero-day dans des progiciels largement utilisés. Lorsqu'il est exploité avec succès, le code malveillant effectue des vérifications anti-machine virtuelle et transmet les données collectées à un domaine de commande et de contrôle contrôlé par les attaquants.

Selon John Gallagher, vice-président de Viakoo Labs chez Viakoo, il est difficile de surveiller et d'étudier en profondeur toutes les interactions dans le monde de la recherche en sécurité, qui repose souvent sur des relations nouées sur Internet. Il conseille aux organisations d'adopter une politique « sans exception » lors de la manipulation de logiciels ou de liens provenant de l'extérieur de leur organisation.

Outre l'exploitation du jour zéro, les auteurs de la menace ont également développé un outil Windows qui télécharge les symboles de débogage à partir des principaux serveurs de symboles, notamment ceux de Microsoft, Google, Mozilla et Citrix. Cet outil apparemment légitime peut exécuter du code arbitraire à partir de domaines contrôlés par des attaquants, compromettant ainsi potentiellement les systèmes des victimes.

Le ciblage des chercheurs en sécurité par des acteurs étatiques comme la Corée du Nord et la Russie est devenu plus fréquent et plus sophistiqué au fil des années. Ces opérations visent non seulement à voler des informations, mais également à mieux comprendre les mécanismes de défense, à affiner les tactiques et à échapper à toute détection future.

Pour atténuer ces menaces, TAG conseille aux personnes susceptibles d'avoir téléchargé ou exécuté l'outil de prendre des précautions, notamment d'envisager une réinstallation du système.

Source : Groupe d'analyse des menaces Google (TAG)