Les Hackers Nord-Coréens S’appuient sur les Réseaux Sociaux pour Cibler les Chercheurs en Sécurité
Table des matières :
Des analystes de menaces de Google avertissent d’une campagne malveillante actuelle visant les chercheurs en vulnérabilités et les membres de l’équipe Rouge. Apparemment, un acteur soutenu par la nation nord-coréenne se cache derrière cette opération, utilisant des méthodes inédites d’ingénierie sociale pour approcher les praticiens individuels de la sécurité via de faux profils de réseaux sociaux.
Attaque contre les chercheurs en sécurité
Présentation de la campagne par le Google Threat Analysis Group (TAG) estime que le collectif soutenu par la nation nord-coréenne a créé un blog dédié et un vaste réseau de faux comptes sur les réseaux sociaux pour infecter les passionnés de chasse aux menaces avec des logiciels malveillants. En particulier, les acteurs de la menace se sont fait passer pour des chercheurs travaillant sur la détection des vulnérabilités et le développement d’exploits pour gagner la confiance et entamer une conversation en ligne avec leurs prétendus collègues.
Les hackers ont décidé de couvrir autant de canaux de communication que possible, créant des comptes sur Twitter, LinkedIn, Telegram, Keybase et Discord. Certaines tentatives ont même été menées via des emails.
Une fois engagés dans le chat, les adversaires ont proposé aux chercheurs de collaborer sur l’analyse des bugs et leur ont envoyé un projet Visual Studio infecté de logiciels malveillants. Ce projet était manifestement destiné à la livraison d’un cheval de Troie porte dérobée, fournissant aux hackers un contrôle sur le PC ciblé. De plus, les utilisateurs ont été encouragés à visiter un blog. Le blog contenait des articles sur l’analyse des exploits et des vidéos fictives sur des prétendues démonstrations de concept (PoC) en cours d’action, encourageant les experts ciblés à commenter le contenu. Cependant, si le site était visité, un code malveillant était déployé sur toutes les instances accédant à cette page.
Notamment, même les utilisateurs de la dernière version de Windows 10 avec un navigateur Chrome entièrement corrigé ont vu leurs appareils compromis. L’enquête est en cours, cependant, les experts estiment que les acteurs de la menace ont utilisé un ensemble de 0-days pour Windows 10 et Chrome afin d’infecter les victimes avec leurs Trojans personnalisés. Le logiciel malveillant a beaucoup en commun avec les outils du célèbre groupe Lazarus travaillant pour le compte du gouvernement nord-coréen.
L’objectif principal de cette opération, lancée il y a plusieurs mois, semble transparent. Les adversaires ont développé un nouveau leurre d’ingénierie sociale pour tromper les experts et enrichir la boîte à outils malveillante avec des vulnérabilités précédemment non détectées. Avec ces données précieuses, les acteurs APT pourraient atteindre un avantage sans précédent lors d’attaques sur des cibles de haut niveau, sans coûts ni temps consacrés au développement d’exploit.
Détection d’Attaque
Cette attaque notoire est toujours en cours d’investigation, donc tous les analystes de sécurité concernés sont invités à partager leurs points de vue et des données supplémentaires avec la communauté. Pour renforcer la défense contre l’intrusion, l’équipe de SOC Prime a publié d’urgence du contenu de détection, afin que tous les chercheurs soupçonnant un éventuel abus puissent vérifier leur système pour compromission. N’hésitez pas à télécharger une règle Sigma correspondante depuis notre plateforme Threat Detection Marketplace :
https://tdm.socprime.com/tdm/info/HgPG9NGdS5UB/__m-P3cBTwmKwLA9By4Q/
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR : Carbon Black, Microsoft Defender ATP
MITRE ATT&CK :
Tactiques : Exécution, Évasion de Défense
Techniques : Utilitaires de Développeur de Confiance (T1127)
De plus, suivez les dernières contributions de nos développeurs Threat Bounty visant une défense proactive face à cette menace :
Campagne Nord-Coréenne Ciblant les Chercheurs en Sécurité
Groupe Lazarus Ciblant les Chercheurs en Sécurité (via sysmon)
Mise à jour du 29/01/2021 : Microsoft a publié un rapport détaillé fournissant des informations techniques supplémentaires sur la chaîne de destruction de l’attaque. Pour répondre aux nouveaux défis révélés lors de l’enquête, notre ingénieur en chasse aux menaces et intervenant sur Security Talks avec SOC Prime, Adam Swan, a développé une règle de détection supplémentaire . Nous avons ouvert cette règle SIGMA premium gratuitement, afin que tous puissent rechercher des arguments inhabituels de rundll32 et détecter le dropper malveillant. Restez en sécurité !. We’ve opened this premium SIGMA rule for free, so all could search for unusual rundll32 arguments and detect the malicious dropper. Stay safe!
LOLBAS rundll32 sans Arguments Attendus (via cmdline)
Suivez les prochaines publications du Threat Detection Marketplace pour ne pas manquer les nouveaux éléments de contenu SOC liés à cette campagne trompeuse. Toutes les détections affiliées seront ajoutées à cet article de blog.
Abonnez-vous à Threat Detection Marketplace gratuitement et restez informé avec le contenu SOC le plus pertinent conçu pour résister aux cyberattaques aux premiers stades de leur cycle de vie. Enthousiasmé par la participation aux initiatives mondiales de chasse aux menaces ? Rejoignez notre Programme Threat Bounty et soyez récompensé pour votre contribution.
