Des chercheurs en cybersécurité, analysant des exploits de preuve de concept (PoC) publiés sur GitHub, se sont récemment retrouvés victimes d’une cyberattaque alimentée par Cobalt Strike.
Il est courant pour les chercheurs de publier un PoC des failles récemment corrigées sur les référentiels de code, tels que GitHub. De cette façon, ils peuvent tester différentes solutions entre eux et forcer les administrateurs à appliquer les correctifs dès que possible.
Lorsque Microsoft a corrigé deux vulnérabilités d’exécution de code à distance, suivies comme CVE-2022-24500 et CVE-2022-26809, quelques PoC sont apparus sur GitHub, l’un d’eux provenant d’un compte nommé « rkxxz ».
Frappe de cobalt
Cependant, le PoC s’est avéré être un faux, et ce qu’il a fait à la place a été d’installer des balises Cobalt Strike sur les terminaux des chercheurs. Les chercheurs de Cyble ont déclaré BipOrdinateur que le faux PoC était en fait une application .NET qui lance un script PowerShell, qui à son tour exécute un malshare de script PowerShell compressé par gzip, qui injecte la balise dans la mémoire de l’appareil.
Cobalt Strike lui-même n’est pas un logiciel malveillant, mais plutôt un outil légitime utilisé pour les tests de pénétration. Pourtant, c’est l’une des armes préférées des cybercriminels, idéale pour les mouvements latéraux furtifs à travers le réseau cible.
Entre-temps, le faux PoC a été supprimé, et le compte qui le distribuait, interdit.
Dans le monde de la cyber-guerre, de temps en temps, le chasseur devient le jeu. Fin janvier de cette année, des personnes travaillant pour le groupe d’analyse des menaces (TAG) de Google ont découvert une campagne de cyberattaques en provenance de Corée du Nord qui ciblait d’autres chercheurs en sécurité. L’attaque était de grande envergure, utilisant des articles de blog, de faux profils de médias sociaux et des comptes de messagerie pour dialoguer avec les chercheurs.
Deux mois plus tard, en mars, le même groupe a découvert une autre campagne hors de Corée du Nord, avec le même objectif. Cette fois-ci, les attaquants ont même créé une fausse société de cybersécurité, appelée SecuriElite, à travers laquelle ils ont invité d’autres chercheurs à collaborer. Cependant, au lieu de collaborer réellement, le groupe a tenté d’infecter les paramètres des chercheurs (s’ouvre dans un nouvel onglet) avec des logiciels malveillants.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)