CA News – Google: North Korea targets security researchers

security: le groupe d’analyse des menaces de Google exhorte les chercheurs en sécurité à faire preuve de vigilance lorsqu’ils abordent des inconnus sur les réseaux sociaux

By

Catalin Simpano

|
Mis à jour le mardi 26 January 2021 at 12 h 13.

Google a annoncé qu’un groupe associé au gouvernement nord-coréen avait ciblé des membres de la communauté de la cybersécurité menant des recherches sur les vulnérabilités. Les attaques ont été repérées par le Threat Analysis Group (TAG), une équipe de sécurité de Google spécialisée dans la traque avancée groupes de menaces persistantes (APT)

Dans un rapport publié hier, Google affirme que des pirates nord-coréens ont utilisé plusieurs profils sur divers réseaux sociaux, tels que Twitter, LinkedIn, Telegram, Discord et Keybase, pour atteindre les chercheurs en sécurité en utilisant de faux caractères et des courriels ont également été utilisés dans certains cas. According to Google

“Une fois les premières connexions établies, les représentants demanderont au chercheur cible s’il souhaite collaborer à la recherche de vulnérabilités, puis lui fourniront un projet Visual Studio”, a déclaré Adam Weidman, chercheur en sécurité chez Google TAG. Le projet Visual Studio contenait du code. Logiciel malveillant qui a installé un logiciel malveillant sur le système d’exploitation du chercheur cible Le logiciel malveillant se comporte comme une porte dérobée, communique avec un serveur de commande et de contrôle à distance et attend les commandes

Mais Adam Wiedemann a expliqué que les attaquants ne distribuaient pas toujours des fichiers malveillants à leurs cibles dans d’autres cas, ils ont demandé aux chercheurs en sécurité de visiter un blog qu’ils hébergeaient sur le blog [] br0vvnn [] I (ne pas y accéder)

Google détermine que le blog hébergeait un code malveillant qui a infecté l’ordinateur sécurisé du chercheur après avoir accédé au site, Adam Weidman déclare: «Un logiciel malveillant a été installé sur le système du chercheur et une porte dérobée en mémoire a commencé à contacter le serveur de commande et de contrôle qui l’acteur malveillant l’a fait. »

Mais le Google TAG ajoute également que de nombreuses victimes qui sont entrées sur le site utilisaient des “versions entièrement corrigées et mises à jour de Windows 10 et Chrome à partir du navigateur”. However, ils n’ont pas empêché l’infection Les détails sur cette attaque de navigateur sont toujours rare, mais certains chercheurs pensent que le groupe nord-coréen a probablement utilisé un ensemble de vulnérabilités zero-day dans Chrome et Windows 10 pour diffuser son code malveillant.

Consequently, l’équipe Google TAG demande actuellement à la communauté de cybersécurité de partager plus de détails sur les attaques, si les chercheurs en sécurité pensent qu’elles sont infectées. Le rapport Google TAG comprend une liste de liens vers de faux profils de réseaux sociaux utilisés par des attaquants nord-coréens pour attirer et tromper les membres de la communauté de cybersécurité. Il est conseillé aux chercheurs en sécurité de consulter leurs enregistrements de navigation et de voir s’ils ont interagi avec l’un de ces profils ou s’ils l’ont gagné accès à la blogosphère malveillante.br0vvnnio

In that case, il est très probable qu’ils aient été infectés et certaines mesures doivent être prises pour vérifier leur système

La raison de cette campagne ciblant les chercheurs en sécurité est très claire: elle pourrait permettre au groupe nord-coréen de voler les vulnérabilités découvertes par les chercheurs infectés et les vulnérabilités que le groupe pourrait déployer dans ses propres attaques avec le coût de développement le plus bas. Meanwhile, de nombreux chercheurs en sécurité ont déjà révélé sur les réseaux sociaux. Social qu’ils avaient reçu des messages des comptes des attaquants, même si aucun d’entre eux n’a reconnu l’existence des systèmes compromis

Attention! Je peux confirmer que c’est vrai et j’ai été heurté par @ z0x55g qui m’a envoyé le pilote PoC pour le noyau Windows, la vulnérabilité était réelle et compliquée, fortunately, je l’ai juste exécutée dans la VM à la fin, le VMDK que j’utilisais était déjà corrompu et non amorçable, donc c’est https auto-fusionnant: // tco / dvdCWsZyne

Au moins deux des comptes répertoriés m’ont contacté via un message privé. Je suis toujours heureux de vous aider si je le peux, mais leur tentative était trop vague pour interagir: https: // t Share / yqJNc6CGML pic.twitter .com / 3NCh912lWu

Un nouveau rapport du Conseil de sécurité révèle que les membres du Conseil de sécurité ont été visés par

matter:
Cyber ​​attaque
Cybercriminalité
Sécurité électronique
Google

By

Catalin Simpano

|
Mis à jour le mardi 26 January 2021 at 12 h 13.

Get the best news from IT professionals delivered to your inbox every day

Nous sommes en mode de maintenance temporaire, which means you will not be able to subscribe to a newsletter. Veuillez réessayer dans un court laps de temps pour reprendre le processus d’abonnement Merci de votre patience

Discover our file

We support small and medium-sized businesses in the development of their IT We share with you our customer stories, webinars and white papers
5 computer files to be discovered each month

Discover the next generation of storage units that deliver uptime, unmatched performance and agility
Register for the webinar

Discover our solutions

Copyright © 2021 ZDNET, A RED VENTURES COMPANY All rights reserved CUP Interactive SAS (France) All rights reserved | Confidentiality | Cookies | Privacy management settings

North Korea, Google, security