Le groupe d’analyse des menaces (TAG) de Google a révélé jeudi avoir pris des mesures pour atténuer les menaces de deux groupes d’attaquants distincts soutenus par le gouvernement et basés en Corée du Nord, qui exploitaient une faille d’exécution de code à distance récemment découverte dans le navigateur Web Chrome.
La vulnérabilité en question est CVE-2022-0609, une vulnérabilité « use-after-free » dans le composant Animation du navigateur que Google a corrigée dans le cadre de mises à jour (version 98.0.4758.102) publiées le 14 février 2022. Il s’agit également de la première faille de type « zero-day » corrigée par le géant technologique depuis le début de l’année 2022.
« La preuve la plus ancienne que nous ayons de ce kit d’exploitation activement déployé est le 4 janvier 2022« , a déclaré Adam Weidemann, chercheur de Google TAG, dans un rapport. « Nous soupçonnons que ces groupes travaillent pour la même entité avec une chaîne d’approvisionnement partagée, d’où l’utilisation du même kit d’exploitation, mais chacun opère avec un ensemble de missions différentes et déploie des techniques différentes.«
La première campagne, qui correspond aux TTP associés à ce que la société israélienne de cybersécurité ClearSky a décrit comme l' »Opération Dream Job » en août 2020, était dirigée contre plus de 250 personnes travaillant pour 10 médias d’information différents, des registraires de domaines, des fournisseurs d’hébergement Web et des fournisseurs de logiciels, en les attirant avec de fausses offres d’emploi de sociétés comme Disney, Google et Oracle.
L’utilisation de fausses offres d’emploi est une tactique éprouvée du groupe Lazarus qui, au début du mois de janvier, s’est fait passer pour l’entreprise américaine Lockheed Martin, spécialisée dans la sécurité mondiale et l’aérospatiale, afin de distribuer des charges utiles de logiciels malveillants à des personnes cherchant un emploi dans le secteur de l’aérospatiale et de la défense.
« Le double scénario de l’espionnage et du vol d’argent est propre à la Corée du Nord, qui exploite des unités de renseignement qui volent à la fois des informations et de l’argent pour leur pays« , ont noté les chercheurs de ClearSky à l’époque.
Le deuxième groupe d’activités qui aurait exploité le même zero-day de Chrome est lié à l’opération AppleJeus, qui a compromis au moins deux sites Web légitimes d’entreprises de technologie financière pour transmettre l’exploit à pas moins de 85 utilisateurs.
Selon Google TAG, le kit d’exploitation est conçu comme une chaîne d’infection en plusieurs étapes qui implique l’intégration du code d’attaque dans des cadres Internet cachés sur les sites Web compromis et sur les sites Web indésirables sous leur contrôle.
L’étape initiale comprenait une phase de reconnaissance visant à prendre l’empreinte des machines ciblées, suivie de l’exécution du code à distance (RCE), qui, en cas de succès, permettait de récupérer un paquet de seconde étape conçu pour échapper à la sandbox et mener d’autres activités post-exploitation.
Google TAG, qui a découvert les campagnes le 10 février, a noté qu’il n’a pu « récupérer aucune des étapes qui ont suivi le RCE initial », soulignant que les acteurs de la menace ont utilisé plusieurs mesures de protection, notamment le chiffrement AES, conçues explicitement pour masquer leurs traces et empêcher la récupération des étapes intermédiaires.
En outre, les campagnes vérifiaient les visiteurs utilisant des navigateurs non basés sur le chrome, tels que Safari sur macOS ou Mozilla Firefox (sur tout système d’exploitation), redirigeant les victimes vers des liens spécifiques sur des serveurs d’exploitation connus. Il n’est pas clair dans l’immédiat si l’une de ces tentatives a porté ses fruits.
Ces découvertes interviennent alors que la société de renseignement sur les menaces Mandiant a associé différents sous-groupes Lazarus à diverses organisations gouvernementales en Corée du Nord, notamment le Bureau général de reconnaissance, le Département du front uni (UFD) et le Ministère de la sécurité d’État (MSS).
Lazarus est le terme générique qui désigne collectivement les opérations d’espionnage provenant du royaume ermite fortement sanctionné, de la même manière que Winnti et MuddyWater fonctionnent comme un conglomérat d’équipes multiples pour contribuer à la réalisation des objectifs géopolitiques et de sécurité nationale de la Chine et de l’Iran.
« L’appareil de renseignement de la Corée du Nord possède la flexibilité et la résilience nécessaires pour créer des cyber-unités en fonction des besoins du pays« , ont déclaré les chercheurs de Mandiant. « En outre, les chevauchements dans les infrastructures, les logiciels malveillants et les tactiques, techniques et procédures indiquent qu’il existe des ressources partagées parmi leurs cyberopérations.«