СЕВЕРНА КОРЕЯ АТАКУВА СПЕЦИАЛИСТИ ПО КИБЕРСИГУРНОСТ

Хакерска група, финансирана от правителството на Северна Корея, се е насочила към изследователи по сигурността, които се фокусират върху уязвимости. Те развиват атаките си  чрез социалните мрежи, разкри Google.

Според доклад, публикуван тази вечер от екипа за анализ на заплахите на Google, хакерска група, подкрепена от правителството на Северна Корея, използва социални мрежи, за да се насочи към изследователите по сигурността и да зарази компютрите им с персонализиран злонамерен софтуер.

Хакерите създават фалшиви профили и блогове в Twitter, за да изградят фалшива личност, която се представя  като изследовател по сигурността. След това тези акаунти се използват за връзка с целеви изследователи по сигурността чрез социални медии, включително Twitter, LinkedIn, Telegram, Discord, Keybase и по имейл.

Като част от изграждането на тази фалшива самоличност, корейците пишат статии, анализиращи съществуващи уязвимости или създават видеоклипове, показващи PoCs, за които се твърди, че вече са разработени.

В един случай, разкрит от Google, бандитите бяха обвинени за разпространението  на фалшив видеоклип на PoC и те от своя страна започнаха да създават фалшиви акаунти в Twitter, за да опровергаят твърденията, че PoC е фалшив.

„Множество коментари в YouTube установиха, че видеоклипът е фалшифициран и че не е демонстриран работещ експлойт. След като тези коментари бяха направени, хакерите използваха втори акаунт в Twitter (който те контролират), за да ретуитват оригиналната публикация и да твърдят, че  видеото е истинско, обясниха от Google в доклада си.

След установяване на контакт с изследовател по сигурността, бандитите го питат дали би искал сътрудничество при изследване на уязвимостта. Като част от това сътрудничество, те  пращат проект на Visual Studio на изследователя, който съдържа техния PoC експлойт, както и злонамерен скрит DLL на име „vcxproj.suo“.

Когато изследователят се опита да изгради експлойт на PoC, ще се изпълни команда PowerShell, която проверява дали потребителят изпълнява 64-битови версии на Windows 10, Windows Server 2019 и Windows Server 2016. Ако проверките преминат, командата PowerShell ще изпълни злонамерената DLL чрез rundll32.exe.

Google заявява, че тази DLL е персонализирана задна врата, инжектирана в паметта и ще се свърже със сървър за команди и контрол.

Google обясни, че някои изследователи също са били заразени само чрез посещение на експлойт запис в блога на хакерите .br0vvnn [.] Io сайт. Тези изследователи са използвали напълно ъпдейтнати устройства с Windows 10 с най-новия Google Chrome, което показва, че севернокорейците използват уязвимости от нулев ден, за да заразят своите посетители.

Въпреки че Google не е посочил крайната цел на тези атаки, е твърде вероятно да се цели кражба на неразкрити уязвимости в сигурността и експлойти въз основа на целевите потребители.

Google съобщи още, че акаунтите в Twitter, използвани в тази хакерска кампания, са br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 и z0x55g.

Изследователите по сигурността признават, че са били обекти на насочени атаки

Откакто Google публикува доклада, изследователите по сигурността започнаха да споделят своя опит със заплахата.

Google предлага следните съвети за заинтересованите, към които тази хакерска група е насочена.

„Ако се притеснявате, че може да сте цел, препоръчваме ви да разделите вашите изследователски дейности с помощта на отделни физически или виртуални машини за общо сърфиране в мрежата, да взаимодействате с други хора в изследователската общност“, съветва групата за анализ на заплахите на Google.

 

Източник: По материали от Интернет

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
25 септември 2023

Акаунтът на Буретин в X беше хакнат

Хакери компрометират акаунта на Виталик Буретин в X, като открадват...
25 септември 2023

Хакери от Gelsemium са забелязани при атака сре...

При атаките, насочени към правителство в Югоизточна Азия, които про...
Бъдете социални
Още по темата
24/09/2023

Deadglyph: нова усъвършенст...

Изследователи в областта на киберсигурността са...
22/09/2023

"Sandman" пробива телекоми ...

Неизвестна досега заплаха, наречена „Sandman“, се...
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!