Google: une nouvelle campagne vise des chercheurs en sécurité

Spread the love
Google: une nouvelle campagne vise des chercheurs en sécurité

Un groupe cybercriminel nord-coréen, connu pour avoir déjà ciblé des chercheurs en sécurité dans le passé, a maintenant amélioré son opération en créant une fausse entreprise de cybersécurité offensive.

Les acteurs malveillants, soutenus selon Google par le parti au pouvoir en Corée du Nord, ont été identifiés pour la première fois par le groupe d’analyse des menaces (Threat Analysis Group, TAG) de Google en janvier 2021.

Google TAG a déclaré à l’époque que les attaquants nord-coréens avaient créé un réseau de faux profils sur les réseaux sociaux, notamment Twitter, Keybase et LinkedIn.

“Afin de renforcer la crédibilité et de se prendre contact avec les chercheurs en sécurité, les acteurs ont créé un blog de recherche et plusieurs profils Twitter pour interagir avec des cibles potentielles”, a déclaré Google. “Ils ont utilisé ces profils Twitter pour publier des liens vers leur blog, publier des vidéos de leurs prétendus exploits, afin d’amplifier et de retweeter les publications d’autres comptes qu’ils contrôlent.”

Lorsque les membres du groupe parvenaient à rentrer en contact avec leurs cibles, ils leur proposaient de collaborer à leurs recherches, avant de leur envoyer un projet Visual Studio malveillant contenant une porte dérobée. Ils peuvent également demander aux chercheurs de visiter un blog chargé de code malveillant, notamment via des vulnérabilités de navigateur.

Dans une mise à jour publiée le 31 mars, Adam Weidemann du Google TAG a déclaré que le groupe avait maintenant changé de tactique en créant une fausse société de sécurité offensive, avec de nouveaux profils de médias sociaux et un site Web promotionnel.

publicité

Venez postuler chez “Trend Macro”

La fausse société, surnommée «SecuriElite», a été créée le 17 mars via le site securielite [.] Com. SecuriElite prétend être basé en Turquie et propose des services de test d’intrusion, des évaluations de la sécurité logicielle et des exploits.

Un lien vers une clé publique PGP a été ajouté au site Web. Bien que l’inclusion de PGP soit une pratique courante en tant qu’option pour une communication sécurisée, le groupe a utilisé ces liens dans le passé pour inciter leurs cibles à visiter une page exploitant une vulnérabilité du navigateur.

En outre, l ‘«équipe» de SecuriElite s’est dotée d’un nouvel ensemble de faux profils sur les réseaux sociaux. Les membres du groupes se font passer pour des collègues chercheurs en sécurité, des recruteurs pour des entreprises de cybersécurité et, dans un cas, le directeur des ressources humaines de la fausse société «Trend Macro» – à ne surtout pas confondre avec la société Trend Micro.

L’équipe de Google a identifié l’utilisation de failles zero day d’Internet Explorer par le groupe en janvier. La société pense qu’il est probable qu’elle ait accès à d’autres vulnérabilités de ce type et qu’elle continuera à les utiliser à l’avenir contre des chercheurs en sécurité.

“Nous avons signalé tous les profils de réseaux sociaux identifiés aux plates-formes pour leur permettre de prendre les mesures appropriées”, déclare Google. “Pour le moment, nous n’avons pas observé que le nouveau site Web de l’attaquant diffusait du contenu malveillant, mais nous l’avons ajouté à Google Safebrowsing par précaution.”

Source : ZDNet.com

Leave a Reply