Търсене
Close this search box.

СЕВЕРНА КОРЕЯ АТАКУВА СПЕЦИАЛИСТИ ПО КИБЕРСИГУРНОСТ

Хакерска група, финансирана от правителството на Северна Корея, се е насочила към изследователи по сигурността, които се фокусират върху уязвимости. Те развиват атаките си  чрез социалните мрежи, разкри Google.

Според доклад, публикуван тази вечер от екипа за анализ на заплахите на Google, хакерска група, подкрепена от правителството на Северна Корея, използва социални мрежи, за да се насочи към изследователите по сигурността и да зарази компютрите им с персонализиран злонамерен софтуер.

Хакерите създават фалшиви профили и блогове в Twitter, за да изградят фалшива личност, която се представя  като изследовател по сигурността. След това тези акаунти се използват за връзка с целеви изследователи по сигурността чрез социални медии, включително Twitter, LinkedIn, Telegram, Discord, Keybase и по имейл.

Като част от изграждането на тази фалшива самоличност, корейците пишат статии, анализиращи съществуващи уязвимости или създават видеоклипове, показващи PoCs, за които се твърди, че вече са разработени.

В един случай, разкрит от Google, бандитите бяха обвинени за разпространението  на фалшив видеоклип на PoC и те от своя страна започнаха да създават фалшиви акаунти в Twitter, за да опровергаят твърденията, че PoC е фалшив.

„Множество коментари в YouTube установиха, че видеоклипът е фалшифициран и че не е демонстриран работещ експлойт. След като тези коментари бяха направени, хакерите използваха втори акаунт в Twitter (който те контролират), за да ретуитват оригиналната публикация и да твърдят, че  видеото е истинско, обясниха от Google в доклада си.

След установяване на контакт с изследовател по сигурността, бандитите го питат дали би искал сътрудничество при изследване на уязвимостта. Като част от това сътрудничество, те  пращат проект на Visual Studio на изследователя, който съдържа техния PoC експлойт, както и злонамерен скрит DLL на име „vcxproj.suo“.

Когато изследователят се опита да изгради експлойт на PoC, ще се изпълни команда PowerShell, която проверява дали потребителят изпълнява 64-битови версии на Windows 10, Windows Server 2019 и Windows Server 2016. Ако проверките преминат, командата PowerShell ще изпълни злонамерената DLL чрез rundll32.exe.

Google заявява, че тази DLL е персонализирана задна врата, инжектирана в паметта и ще се свърже със сървър за команди и контрол.

Google обясни, че някои изследователи също са били заразени само чрез посещение на експлойт запис в блога на хакерите .br0vvnn [.] Io сайт. Тези изследователи са използвали напълно ъпдейтнати устройства с Windows 10 с най-новия Google Chrome, което показва, че севернокорейците използват уязвимости от нулев ден, за да заразят своите посетители.

Въпреки че Google не е посочил крайната цел на тези атаки, е твърде вероятно да се цели кражба на неразкрити уязвимости в сигурността и експлойти въз основа на целевите потребители.

Google съобщи още, че акаунтите в Twitter, използвани в тази хакерска кампания, са br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 и z0x55g.

Изследователите по сигурността признават, че са били обекти на насочени атаки

Откакто Google публикува доклада, изследователите по сигурността започнаха да споделят своя опит със заплахата.

Google предлага следните съвети за заинтересованите, към които тази хакерска група е насочена.

„Ако се притеснявате, че може да сте цел, препоръчваме ви да разделите вашите изследователски дейности с помощта на отделни физически или виртуални машини за общо сърфиране в мрежата, да взаимодействате с други хора в изследователската общност“, съветва групата за анализ на заплахите на Google.

 

Източник: По материали от Интернет

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
16 май 2024

Ascension Healthcare претърпява сериозна кибера...

Атаката прекъсна достъпа до електронните здравни досиета (ЕЗД) и си...
Бъдете социални
Още по темата
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
14/05/2024

Цифровият живот след смъртт...

Специалистите по етика на изкуствения интелект...
12/05/2024

CISA: рансъмуерът Black Bas...

CISA и ФБР съобщиха днес, че...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!