Actualités

Lazarus, ZINC : parmi les infiltrations par ingénierie sociale, une vulnérabilité 0-day ciblant Internet Explorer !

Respectivement le 25 et le 28 Janvier dernier, Google et Microsoft rendaient publique une brèche sécuritaire hautement critique : le groupe de cyber-attaquants ZINC, plus connu sous le nom Lazarus, se servait des réseaux sociaux et profils professionnels sur l’Internet pour duper les développeurs ou chercheurs sécuritaires afin d’instiller leur système local pour mieux étendre la charge virale sur d’autres terminaux ou contacts de la victime. Récemment, l’équipe sécuritaire Enki a fait le point sur une partie de cette attaque de grande ampleur qui intégrait, également, une vulnérabilité diffusée depuis Internet Explorer…

 

 

Un article de blog intitulé DOS2RCE: Une nouvelle technique pour exploiter le bogue de déréférence du pointeur V8 NULL, a été partagé par l’acteur le 14 octobre 2020 sur Twitter. Du 19 au 21 octobre 2020, certains chercheurs, qui n’avaient pas été contactés ou envoyés de fichiers par des profils ZINC, ont cliqué sur les liens en utilisant le navigateur Chrome, ce qui a entraîné l’apparition de logiciels malveillants ZINC connus sur leurs machines peu de temps après. Cela suggère qu’une chaîne d’exploit de navigateur Chrome a probablement été hébergée sur le blog, bien que nous n’ayons pas été en mesure de le prouver. Étant donné que certains des navigateurs de la victime ont été entièrement corrigés, il est également soupçonné, mais non prouvé, que la chaîne d’exploit a utilisé des exploits 0-day ou patch gap. Nous pensons que tous les visiteurs du site n’ont pas été compromis, même aux dates indiquées ci-dessus“, explique la cellule MTIC (Microsoft Threat Intelligence Center). Redoutablement efficace, la manipulation est observée, officiellement, depuis la moitié d’année 2020 : Lazarus se serait servis des réseaux sociaux pour diffuser des messages sécuritaires (issus de sources légitimes notamment) avec un effet de ping-pong (plusieurs comptes issus du même groupe) pour amplifier la diffusion de liens frauduleux. Twitter et LinkedIn, entre-autres, sont cités.

 

Un message (tronqué) indiquant qu’il ne s’agit pas d’une fausse vidéo (mais cela est bien le cas),
après avoir initialement posté un faux-PoC d’une vulnérabilité sous Défender !

 

Une fois l’amorce effectuée, la victime (en général : une personne spécialisée dans la cyber-sécurité de près ou de loin dans le maillon) noue des relations amicales avant de proposer de discuter dans un endroit plus intime avec, en finalité des dossiers ou archives à télécharger suivant le contexte-pretexte. Le cas de Visual Studio est évoqué : des projets vérolés recelaient des DLLs malicieux qui étaient, de toute façon, amplement détectés via Microsoft Defender (Endpoint). Si malgré cela, la détection n’avait pas lieu, le malware – Comebacker – allait se fixer au niveau du registre (démarrage automatique…) tout en supprimant, au préalable, le fichier binaire de mise à jour (update.bin) depuis VirtualBox. Étape supérieure, Klackring recense la machine infectée.

 

Sous Internet Explorer, une copie du lien frauduleux (diffuser via les réseaux sociaux et renvoyant à un blog nommé br0vvnn) était conçue pour s’ouvrir exclusivement sous IE en format MHTML. La page contenait du JavaScript (vérolé) avec, confie Microsoft, probablement des actions du genre mais “le site était en panne” lors des tests… Autre navigateur impacté : Google Chrome. Celui-ci était dévié pour voir l’ensemble des mots de passe renseignés ou enregistrés entièrement aspirés via un malware spécifique. Le DLL passait par PowerShell (téléchargement) et rundll32 (exécution) pour obtenir les précieux sésame chiffrés en SHA-256. L’ensemble communiquait via command-and-control avec un rafraîchissement de la porte dérobée à hauteur d’une minute. Télémétrie, collecte, consultation des données et tri de ces dernières, captures d’écran et bien plus encore : le plan d’attaque était vaste et très organisé.

Un point confirmé par le PoC partiel (en attendant la livraison du patch pour éviter les exploits) fourni par Enki, dans son billet sécuritaire, le 4 Février 2021 : “Dans cette attaque, en plus d’utiliser la vulnérabilité 0Day des principaux logiciels, l’attaquant a préparé et utilisé un compte SNS […] L’attaquant exige de participer au travail de modification du code d’attaque Chrome vers la cible macOS et a livré le fichier «Chrome_85_RCE_Full_Exploit_Code.mht» sous forme de document contenant le code de vulnérabilité Chrome […] il a été confirmé que le bogue utilisé par l’attaquant était un bogue Double Free qui s’est produit dans la partie de la libération de la valeur d’attribut de l’objet DOM“. Pour l’heure, Microsoft n’a pas donné de nouvelles concernant un patch mais travaille activement sur le problème… A veiller !




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0