Un groupe de piratage soutenu par le gouvernement nord-coréen cible les chercheurs en sécurité qui se concentrent sur la vulnérabilité et exploitent le développement via les réseaux sociaux, a révélé Google ce soir.

Selon un rapport publié ce soir par le groupe d’analyse des menaces de Google, un groupe de piratage soutenu par le gouvernement nord-coréen utilise les réseaux sociaux pour cibler les chercheurs en sécurité et infecter leurs ordinateurs avec un malware de porte dérobée personnalisé.

Les acteurs de la menace créent de faux profils Twitter et blogs pour créer une fausse personnalité en tant que chercheur en sécurité. Ces comptes sont ensuite utilisés pour contacter des chercheurs en sécurité ciblés via les médias sociaux, notamment Twitter, LinkedIn, Telegram, Discord, Keybase et e-mail.

Comptes de réseaux sociaux utilisés dans cette campagne
Comptes de réseaux sociaux utilisés dans cette campagne
Source: Google

Dans le cadre de ce faux bâtiment de personnalité, les acteurs de la menace écrivent des articles analysant les vulnérabilités existantes ou créent des vidéos montrant les PoC qu’ils auraient développés.

Dans un cas vu par Google, les acteurs de la menace ont été appelés pour une fausse vidéo PoC et ont commencé à créer des comptes de marionnettes sur chaussettes Twitter pour réfuter les affirmations selon lesquelles le PoC est faux.

« Plusieurs commentaires sur YouTube ont identifié que la vidéo était falsifiée et qu’aucun exploit fonctionnel n’avait été démontré. Après que ces commentaires aient été faits, les acteurs ont utilisé un deuxième compte Twitter (qu’ils contrôlent) pour retweeter le message original et prétendre que c’était » pas une fausse vidéo », a expliqué Google dans son rapport.

Après avoir pris contact avec un chercheur en sécurité, les acteurs de la menace demandent s’ils souhaitent collaborer à la recherche de vulnérabilité ou au développement d’exploitation. Dans le cadre de cette collaboration, les acteurs de la menace enverraient un projet Visual Studio au chercheur contenant leur exploit PoC, ainsi qu’une DLL cachée malveillante nommée «vcxproj.suo».

Lorsque le chercheur a essayé de créer l’exploit PoC, un événement de pré-construction exécutait une commande PowerShell qui vérifie si l’utilisateur est en cours d’exécution …

Voir la source de cette publication