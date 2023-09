By

Les acteurs menaçants associés à la Corée du Nord ont utilisé un bug zero-day dans un logiciel non divulgué pour infiltrer la communauté de la cybersécurité. Le groupe d'analyse des menaces (TAG) de Google a découvert cette attaque en cours, dans laquelle l'adversaire crée de faux comptes sur des plateformes de médias sociaux comme X et Mastodon pour établir des relations et gagner la confiance de cibles potentielles.

Les attaquants engagent de longues conversations avec des chercheurs en sécurité et finissent par déplacer la communication vers des applications de messagerie cryptées telles que Signal, WhatsApp ou Wire. Grâce à des tactiques d’ingénierie sociale, ils introduisent un fichier malveillant contenant au moins une vulnérabilité Zero Day dans des logiciels populaires. La vulnérabilité est actuellement en cours de résolution.

La charge utile de l'attaque comprend des vérifications anti-machine virtuelle (VM) et collecte des informations sur la machine infectée, y compris une capture d'écran, qui sont ensuite transmises au serveur contrôlé par l'attaquant.

Ce n’est pas la première fois que des acteurs nord-coréens utilisent des leurres sur le thème de la collaboration pour infecter leurs victimes. Lors d’une précédente campagne npm, les attaquants ont utilisé de faux personnages pour cibler le secteur de la cybersécurité. Ils ont convaincu les cibles de cloner et d'exécuter le contenu d'un référentiel GitHub.

Une enquête plus approfondie menée par Google TAG a également révélé un outil Windows appelé « GetSymbol », développé par les attaquants et hébergé sur GitHub, qui a servi de vecteur d'infection secondaire potentiel.

Cette récente attaque s’aligne sur les activités d’autres acteurs menaçants nord-coréens. L'AhnLab Security Emergency Response Center (ASEC) a découvert que ScarCruft, un acteur étatique nord-coréen, utilise des leurres de fichiers LNK dans des e-mails de phishing pour distribuer une porte dérobée capable de collecter des données sensibles.

Il a également été noté que les acteurs nord-coréens menaçants ciblaient le gouvernement russe et l’industrie de défense tout en apportant leur soutien à la Russie dans son conflit avec l’Ukraine. De plus, Lazarus Group, un autre acteur nord-coréen, a été impliqué dans le vol de 41 millions de dollars en monnaie virtuelle sur un casino et une plateforme de paris en ligne.

Ces cyberopérations menées par des acteurs menaçants nord-coréens visent à collecter des renseignements sur des adversaires perçus, à rassembler des informations sur les capacités militaires d'autres pays et à accumuler des fonds en cryptomonnaies pour l'État.

