Les cyber-attaquants et les criminels intensifient leurs efforts pour s’attaquer aux entreprises ciblées et, dans ce qui se trouve être une nouvelle tendance, ciblent la communauté de la cybersécurité afin de voler des outils de vulnérabilité clés pour mener des cyber-violations plus invasives. Le dernier exemple de cela, rapporté par Adam Weidemann du groupe d’analyse des menaces de Google (TAG), est un célèbre ensemble de cybercriminalité soutenu par l’État nord-coréen, qui a maintenant mis en place un front appelé SecuriElite, et cherche maintenant à s’investir. victimes de la communauté des chercheurs en cybersécurité elle-même. La tactique prend une nouvelle note offensive en ciblant la communauté qui travaille pour défendre les entreprises et les consommateurs contre les cyber-violations, volant ainsi les outils racine qui sont utilisés pour se défendre contre les différentes cyberattaques employées par ces menaces.

Dans ce qui est une tactique d’ingénierie sociale connue, l’équipe de Google TAG a signalé en janvier que le groupe de menaces persistantes avancées (APT) ciblait spécifiquement une ligue de chercheurs légitimes en cybersécurité. L’attaque coordonnée a vu l’APT nord-coréen mis en place plusieurs profils Twitter et LinkedIn et se livrer à des rapports sur divers exploits de cybersécurité. Les vidéos et les blogs publiés par ces comptes signalaient initialement des vulnérabilités apparemment légitimes, mais une inspection plus approfondie avait révélé que les attaques avaient déjà été signalées par les organisations de sécurité, et également corrigées par les majors de la technologie. Cependant, dans le but d’établir la confiance dans la communauté de la sécurité, les attaquants ont fabriqué des preuves conceptuelles fonctionnelles de ces vulnérabilités.

Désormais, dans une nouvelle mise à jour de cette frénésie d’attaques d’ingénierie sociale et de spear phishing, le même groupe de cyber-attaquants a créé une firme de test de sécurité et de pénétration frauduleuse, SecuriElite. Pour la communauté des chercheurs en sécurité, ces attaquants publient leurs travaux en synchronisation avec SecuriElite, invitant des chercheurs légitimes engagés avec des organisations de cybersécurité de premier plan à collaborer sur divers tests de vulnérabilité et à exploiter des projets de découverte. Les attaquants partageraient ensuite un projet Visual Studio avec les chercheurs, qui à leur tour téléchargeaient une porte dérobée nommée FallChill (ou Manuscrypt) sur les appareils des chercheurs. La porte dérobée FallChill est un outil d’exécution de code à distance (RCE) reconnu qui a été déployé par le célèbre groupe Lazarus de Corée du Nord.

«Les chercheurs en sécurité ont identifié ces acteurs avec succès à l’aide d’un Internet Explorer 0-day. Sur la base de leur activité, nous continuons de croire que ces acteurs sont dangereux et ont probablement plus de 0 jours. Nous encourageons quiconque découvre une vulnérabilité Chrome à signaler cette activité via le processus de soumission du programme Chrome Vulnerabilities Rewards », a écrit Weidemann dans son rapport sur la tactique de menace APT en Corée, plus tôt ce mois-ci.

Ce qui est inquiétant ici, c’est que les attaquants cherchent à tirer sur les outils clés que les organisations de recherche en cybersécurité utilisent pour se défendre contre les failles de sécurité majeures et les failles zero-day récemment corrigées. Les outils susceptibles d’être volés comprennent une infrastructure de cyber-évaluation, des pots de miel de test de pénétration et exploitent également des moniteurs pour les principaux systèmes grand public. Voler de tels outils peut aider les attaquants à annuler les systèmes de sécurité à partir de zéro, créant ainsi des exploits encore plus robustes qui peuvent non seulement tromper les systèmes de sécurité, mais également ajouter des couches difficiles à enfreindre, même pour les organisations de sécurité. Une liste complète des comptes liés au nouveau déménagement est disponible dans l’article Google TAG de Weidemann, ici.