Deux groupes distincts de pirates nord-coréens exploitaient la même vulnérabilité d'exécution de code à distance dans le navigateur Chrome, mais Google a réussi à déjouer les cyberattaques au début de l’année.

Des pirates soutenus par le gouvernement de la Corée du Nord ont exploité une faille zero-day critique de Chrome pour tenter d'infecter les ordinateurs de centaines de personnes travaillant dans un large éventail de secteurs, notamment les médias d'information, l'informatique, les cryptomonnaies et les services financiers, ont annoncé Google sur son blog.

Le groupe d'analyse des menaces (TAG) de Google a attribué deux campagnes d'exploitation de la récente correction CVE-2022-0609 à deux groupes d'attaquants distincts soutenus par le gouvernement nord-coréen. « Nous soupçonnons que ces groupes travaillent pour la même entité avec une chaîne d'approvisionnement partagée, d'où l'utilisation du même kit d'exploitation, mais chacun opère avec un ensemble de missions différentes et déploie des techniques différentes », écrit l'équipe de cybersécurité de Google.

Lire également : Des pirates nord-coréens espionnent les appareils Windows et Android avec le malware Chinotto

Les pirates informatiques de Corée du Nord ont été stoppés par Google

Selon le groupe TAG, entre janvier et février 2022, les pirates nord-coréens ont fait main basse sur une faille zero-day dans Google Chrome qui leur permettait d'exécuter du code sur des machines cibles. Avant que la faille ne soit patchée, les Nord-Coréens l'auraient utilisée pour compromettre les ordinateurs de diverses entreprises.

D’après les informations de Google, un des groupes, nommé « Operation Dream Job », a ciblé plus de 250 personnes de différents médias avec des courriels de phishing prétendant provenir de recruteurs de Disney, Google et Oracle. Les courriels contenaient des liens vers des sites de recherche d'emploi comme Indeed et ZipRecruiter. Les campagnes de phishing sont de plus en plus courantes, et nous avions d’ailleurs vu que Microsoft Teams était devenue la cible favorite des pirates.

Un autre groupe nommé « Operation AppleJues » aurait lui ciblé 85 utilisateurs des secteurs de la cryptomonnaie et de la fintech. Les pirates auraient réussi à déployer des logiciels malveillants qui étaient cachés dans des balises HTML sur de faux sites Web. Là encore, l‘objectif des attaquants était de rediriger les utilisateurs vers un site compromis où un script d'exploitation était exécuté contre la faille de Chrome pour installer un malware d'accès à distance. Google précise que Chrome n’aurait pas été le seul navigateur ciblé par les pirates, et que macOS et Firefox étaient également concernés.

Source : Google