朝鲜黑客通过社交媒体瞄准了安全研究人员

2021-01-28 22:47:21

谷歌今天表示,一个朝鲜政府黑客组织已将从事漏洞研究的网络安全社区作为攻击目标。

Google威胁分析小组(TAG)发现了这些攻击,该小组是专门研究高级持久威胁(APT)小组的Google安全团队。

谷歌在今天早些时候发布的一份报告中说,朝鲜黑客在Twitter,LinkedIn,Telegram,Discord和Keybase等各种社交网络上使用了多个配置文件,以利用假冒的人物联系安全研究人员。

"在建立了初步的沟通之后,参与者会询问目标研究人员是否要在漏洞研究方面进行合作,然后为研究人员提供Visual Studio项目," Google TAG的安全研究员Adam Weidemann说。

Visual Studio项目包含将恶意软件安装在目标研究者的操作系统上的恶意代码。该恶意软件充当后门,与远程命令和控制服务器联系并等待命令。

后来,该恶意软件与朝鲜政府资助的著名运营机构Lazarus Group相关联。

针对用于0day分析和开发的安全研究人员的恶意软件的KTAE代码相似性分析。 " Manuscrypt" (也称为FALLCHILL)通常由Lazarus APT使用。 👉pic.twitter.com/hXxuJIj9Lc

— Costin Raiu(@craiu)2021年1月26日

但是维德曼说,攻击者并不总是向目标分发恶意文件。在其他情况下,他们要求安全研究人员访问他们在blog [。] br0vvnn [。] io上托管的博客(不访问)。

Google说,该博客托管了恶意代码,该恶意代码在访问该网站后感染了安全研究人员的计算机。

在研究人员的系统上安装了恶意服务,并且内存后门将开始向参与者拥有的命令和控制服务器发出信标,"魏德曼说。

但是Google TAG还补充说,许多访问该网站的受害者也都在运行"补丁已修补且最新的Windows 10和Chrome浏览器版本。仍然被感染

关于基于浏览器的攻击的详细信息仍然很少,但是一些安全研究人员认为,这家朝鲜组织最有可能使用Chrome和Windows 10零日漏洞的组合来部署其恶意代码。

结果,Google TAG小组当前正在要求网络安全社区共享有关攻击的更多详细信息,如果有任何安全研究人员认为它们已被感染。

Google TAG报告包含一个列表,其中包含朝鲜演员用来诱骗和欺骗Infosec社区成员的虚假社交媒体资料的链接列表。

建议安全研究人员检查其浏览历史记录,并查看他们是否与任何这些配置文件进行了交互,或者是否访问了恶意的blog.br0vvnn.io域。

如果确实如此,他们很可能已被感染,因此需要采取某些步骤来调查自己的系统。

将安全研究人员作为攻击目标的原因非常明显,因为它可以允许朝鲜小组窃取被感染的研究人员发现的漏洞的漏洞,而威胁小组可以利用这些漏洞在自己的攻击中部署这些漏洞,而几乎没有开发成本。

同时,一些安全研究人员已经在社交媒体上披露,他们从攻击者那里收到消息。但是,没有人承认系统遭到破坏。

警告!我可以确认这是真的,并且被@ z0x55g击中,后者向我发送了Windows内核PoC触发器。该漏洞是真实的,触发起来很复杂。幸运的是,我只在VM中运行了它。最后,我使用的VMDK实际上已损坏并且无法启动,因此它自爆了https://t.co/dvdCWsZyne

-理查德·约翰逊(@richinseattle)2021年1月26日

上述Twitter帐户之一也与我交谈...幸运的是,我没什么可失去的... https://t.co/flb1NJuaC8 -sakura(@ eternalsakura13)2021年1月26日 至少有两个上述帐户通过DM与我联系。 如果可以的话,总是很乐意为您提供帮助,但他们的尝试太可耻了,无法互动:https://t.co/yqJNc6CGML pic.twitter.com/3NCh912lWu -侯赛因·洛菲(Hossein Lotfi)(@hosselot)2021年1月26日