微软表示,它对“信息安全”研究人员的黑客活动与由朝鲜隶属,由国家资助的ZINC相关联具有“高度信心”

2021-01-29 08:22:51

今天,微软透露他们已经监视了针对漏洞研究人员的针对性攻击已有数月之久,并将这些攻击归因于名为“ Zinc”的朝鲜组织。

本周早些时候,谷歌透露,一个由朝鲜政府支持的黑客组织一直在使用社交网络来瞄准安全研究人员。

作为攻击的一部分,威胁参与者会要求研究人员合作进行漏洞研究,然后尝试使用自定义的后门恶意软件感染其计算机。

微软在一份新报告中指出,他们也一直在跟踪该威胁行为者,他们以“ ZINC”和“ #INC”身份被跟踪。在过去的几个月中,黑客瞄准了笔测试人员,安全研究人员以及技术和安全公司的员工。其他研究人员以众所周知的名称“ Lazarus”跟踪该黑客组织。

"在最近几个月中,微软发现了一个由ZINC追踪的针对安全研究人员的网络攻击。该活动最初是在Microsoft Defender for Endpoint检测到正在进行的攻击之后引起我们注意的。观察到的目标包括笔测试人员,私人进攻性安全研究人员以及安全和技术公司的员工。"

" Microsoft威胁情报中心(MSTIC)高度自信地将这次活动归功于ZINC,这是一个由朝鲜隶属并由国家资助的团体,其依据是观察到的贸易手段,基础设施,恶意软件模式和帐户隶属关系,"微软威胁情报中心团队在一份新报告中披露。

根据Microsoft的研究,ZINC参与者于2020年中开始运营,方法是转推安全内容并发布有关漏洞的研究,以建立在线Twitter安全研究员的角色。

威胁参与者然后会使用受其控制的其他袜子木偶Twitter帐户来放大这些推文。该策略使该小组在安全漏洞研究领域赢得了声誉,并建立了包括“杰出安全研究人员”在内的追随者。

作为攻击的一部分,ZINC参与者将与研究人员联系,以就脆弱性进行合作并利用研究成果。正如Google先前报道的那样,对于那些同意的研究人员,ZINC将发送一个包含恶意DLL的Visual Studio项目,该漏洞将在研究人员编译该项目时执行。

此DLL将导致安装后门恶意软件,该恶意软件将使攻击者能够检索信息并在计算机上执行命令。

"在此C2通道上,威胁执行者可以执行远程命令来枚举文件/目录和正在运行的进程,以及收集/上传有关目标设备的信息,包括IP地址,计算机名称和NetBIOS。此外,我们观察到了一些手动操作,这些操作可以枚举目标磁盘上的所有文件/目录,创建屏幕快照以及部署其他模块,"解释了Microsoft的报告。

除了恶意的Visual Studio项目之外,Microsoft还看到ZINC使用其他方法攻击安全专业人员。

正如Google的报告中已经解释的那样,有些人只是通过访问威胁者而受到感染。完全修补的系统上的网站和最新的Google Chrome浏览器。 Google不确定访问者如何受到损害,但怀疑使用零日漏洞。

微软指出,威胁参与者在其网站上共享了一个博客文章的链接,其中包含使用" 0天或补丁间隔漏洞利用的攻击工具包。"

"标题为DOS2RCE:利用V8 NULL指针取消引用错误的新技术的博客文章由演员于2020年10月14日在Twitter上分享。 2020年10月19日至21日,一些未通过ZINC个人资料与之联系或发送任何文件的研究人员在使用Chrome浏览器时单击了链接,不久后在其计算机上造成了已知的ZINC恶意软件。

"这表明,尽管我们无法证明这一点,但博客上可能托管了一个Chrome浏览器利用链。微软解释说,由于受害者的某些浏览器已完全打补丁,因此还怀疑但未经证实,漏洞利用链使用了0天或补丁间隔漏洞。

将博客文章作为MHTML文件分发,这些文件可以返回执行恶意JavaScript的ZINC控制域。

尝试在名为Vir.IT eXplorer的防病毒产品的漏洞驱动程序中利用CVE-2017-16238漏洞。 Microsoft声明这些尝试失败。

微软警告您访问过ZINC拥有的博客(br0vvnn [。] io),您应立即运行全面的防病毒扫描或使用其报告中的IOC来检查感染。

如果在您的计算机上找到了这些IOC,则应假定设备已完全受损。