Posté le mai 27, 2022 à 8:02

DES HACKERS CIBLENT LES CHERCHEURS EN SÉCURITÉ DE WINDOWS AVEC DE FAUX EXPLOITS

Les réseaux de preuve de concept (PoC) se sont multipliés au cours de l’année écoulée. Cependant, la popularité croissante de ces réseaux les a également rendus vulnérables aux attaques de piratage, qui ont mis les utilisateurs en danger.

Des chercheurs en cybersécurité analysant des exploits de PoC publiés sur GitHub ont récemment découvert une attaque majeure sur PoC. Suite à cet exploit, les chercheurs ont été victimes d’une cyberattaque facilitée par Cobalt.

Des hackers s’en prennent aux experts en sécurité de Windows

Les chercheurs en cybersécurité publient généralement une preuve de concept contenant uniquement des failles récemment corrigées. Le PoC est généralement publié sur des dépôts de code comme GitHub. De cette façon, il est facile pour les utilisateurs de tester les solutions disponibles et de mandater les administrateurs pour adopter une solution à ces vulnérabilités avec rapidité et facilité.

Microsoft avait corrigé les failles de deux exécutions de code à distance. Les failles ont été repérées sous le nom de CVE-2022-24500 et CVE-2022-26809, et lorsque l’équipe de Microsoft a corrigé les vulnérabilités, plusieurs PoC sont apparus sur GitHub. L’une de ces vulnérabilités provenait d’un compte connu sous le nom de « rkxxz ».

Cependant, le PoC qui est apparu s’est avéré être malveillant. Au lieu de cela, le PoC a installé des balises Cobalt Strike sur les points d’accès des chercheurs. Les chercheurs de Cyble ont déclaré que le PoC malveillant était faussement représenté pour dissimuler son identité car, en réalité, il s’agissait d’une application .NET qui installait un script PowerShell.

L’application exécute ensuite un script PowerShell malshare compressé par gzip. Celui-ci installe la balise dans la mémoire de l’appareil. Cobalt Strike n’est pas un logiciel malveillant en soi. Il s’agit plutôt d’un outil légitime utilisé pour effectuer des tests de pénétration.

Bien que Cobalt Strike soit un outil légitime utilisé par les chercheurs en cybersécurité, les cybercriminels l’ont aussi largement exploité. Il s’agit de l’une des armes les plus utilisées par les cybercriminels car elle permet de dissimuler l’identité des utilisateurs et de se déplacer furtivement sur le réseau ciblé.

Après avoir découvert qu’ils étaient exploités, les chercheurs en cybersécurité se sont débarrassés du faux PoC. Le compte qui diffusait ce logiciel malveillant a également été supprimé du réseau pour l’empêcher de déployer d’autres faux PoC.

Les chercheurs en cybersécurité sont également des cibles

Ce n’est pas la première fois que des hackers prennent pour cible des chercheurs en cybersécurité. Les chercheurs en cybersécurité sont généralement chargés d’identifier les menaces et de corriger les failles avant qu’elles ne soient exploitées. Cependant, dans certains cas, les chercheurs en cybersécurité sont les victimes de ces attaques.

Dans le monde cybernétique, ceux qui recherchent des vulnérabilités deviennent les cibles d’attaques. En janvier, des personnes travaillant pour le groupe d’analyse des menaces (TAG) de Google ont été victimes d’une attaque similaire.

Les chercheurs en sécurité de TAG ont détecté une cyberattaque provenant de la Corée du Nord. L’attaque les visait alors qu’ils tentaient de mettre en œuvre un correctif susceptible de résoudre la faille et de réduire le risque de menace.

L’ampleur de la menace posée par les hackers Nord-Coréens était de taille. Les hackers ont dialogué avec les chercheurs de plusieurs manières, notamment par le biais d’articles de blog, de faux comptes de médias sociaux et de comptes de messagerie électronique. Les hackers ont utilisé ces outils et ces plateformes pour atteindre les chercheurs en sécurité et les rendre victimes d’une attaque.

Dans la plupart des cas, les chercheurs en cybersécurité disposent de mécanismes de protection avancés pour atténuer les attaques de grande envergure. Toutefois, les outils et les stratégies utilisés par les acteurs de menaces ont évolué au cours de l’année écoulée, et il est devenu difficile de déjouer ces attaques, en particulier lorsqu’on analyse des systèmes dont les failles ne sont pas corrigées.

Deux mois après l’incident avec les chercheurs du TAG, une autre campagne a été découverte, impliquant des acteurs de menaces de la Corée du Nord. La deuxième attaque était plus grave car elle utilisait une stratégie coordonnée.

Dans la deuxième attaque, les acteurs de la menace ont créé une fausse société de cybersécurité appelée SecuriElite. Ils ont utilisé cette société pour inviter d’autres chercheurs à s’associer et à travailler ensemble pour repousser les attaques.

Cependant, au lieu de s’associer avec les chercheurs pour enquêter sur les attaques et détecter les failles des systèmes populaires, les attaquants ont tenté d’infecter les points d’extrémité des chercheurs avec des logiciels malveillants. Cette manœuvre aurait pu causer des dommages considérables aux chercheurs si les intentions des attaquants n’avaient pas été découvertes à temps.

En outre, les attaquants ont également détourné les outils utilisés par les chercheurs pour accéder aux systèmes et effectuer des tests permettant de détecter les failles de sécurité. Par exemple, les attaquants ont utilisé l’outil Cobalt Strike pour lancer les attaques dans le cas récent.

Cobalt Strike est un outil populaire dans le monde de la cybersécurité, et s’il peut être exploité à des fins malveillantes, il peut aussi être utilisé à des fins positives. Compte tenu du risque croissant d’attaques de cybersécurité et de l’évolution des méthodes des attaquants, il est toujours crucial de corriger les systèmes défectueux avant qu’ils ne soient exploités.