СЕВЕРНА КОРЕЯ АТАКУВА СПЕЦИАЛИСТИ ПО КИБЕРСИГУРНОСТ

Хакерска група, финансирана от правителството на Северна Корея, се е насочила към изследователи по сигурността, които се фокусират върху уязвимости. Те развиват атаките си  чрез социалните мрежи, разкри Google.

Според доклад, публикуван тази вечер от екипа за анализ на заплахите на Google, хакерска група, подкрепена от правителството на Северна Корея, използва социални мрежи, за да се насочи към изследователите по сигурността и да зарази компютрите им с персонализиран злонамерен софтуер.

Хакерите създават фалшиви профили и блогове в Twitter, за да изградят фалшива личност, която се представя  като изследовател по сигурността. След това тези акаунти се използват за връзка с целеви изследователи по сигурността чрез социални медии, включително Twitter, LinkedIn, Telegram, Discord, Keybase и по имейл.

Като част от изграждането на тази фалшива самоличност, корейците пишат статии, анализиращи съществуващи уязвимости или създават видеоклипове, показващи PoCs, за които се твърди, че вече са разработени.

В един случай, разкрит от Google, бандитите бяха обвинени за разпространението  на фалшив видеоклип на PoC и те от своя страна започнаха да създават фалшиви акаунти в Twitter, за да опровергаят твърденията, че PoC е фалшив.

„Множество коментари в YouTube установиха, че видеоклипът е фалшифициран и че не е демонстриран работещ експлойт. След като тези коментари бяха направени, хакерите използваха втори акаунт в Twitter (който те контролират), за да ретуитват оригиналната публикация и да твърдят, че  видеото е истинско, обясниха от Google в доклада си.

След установяване на контакт с изследовател по сигурността, бандитите го питат дали би искал сътрудничество при изследване на уязвимостта. Като част от това сътрудничество, те  пращат проект на Visual Studio на изследователя, който съдържа техния PoC експлойт, както и злонамерен скрит DLL на име „vcxproj.suo“.

Когато изследователят се опита да изгради експлойт на PoC, ще се изпълни команда PowerShell, която проверява дали потребителят изпълнява 64-битови версии на Windows 10, Windows Server 2019 и Windows Server 2016. Ако проверките преминат, командата PowerShell ще изпълни злонамерената DLL чрез rundll32.exe.

Google заявява, че тази DLL е персонализирана задна врата, инжектирана в паметта и ще се свърже със сървър за команди и контрол.

Google обясни, че някои изследователи също са били заразени само чрез посещение на експлойт запис в блога на хакерите .br0vvnn [.] Io сайт. Тези изследователи са използвали напълно ъпдейтнати устройства с Windows 10 с най-новия Google Chrome, което показва, че севернокорейците използват уязвимости от нулев ден, за да заразят своите посетители.

Въпреки че Google не е посочил крайната цел на тези атаки, е твърде вероятно да се цели кражба на неразкрити уязвимости в сигурността и експлойти въз основа на целевите потребители.

Google съобщи още, че акаунтите в Twitter, използвани в тази хакерска кампания, са br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 и z0x55g.

Изследователите по сигурността признават, че са били обекти на насочени атаки

Откакто Google публикува доклада, изследователите по сигурността започнаха да споделят своя опит със заплахата.

Google предлага следните съвети за заинтересованите, към които тази хакерска група е насочена.

„Ако се притеснявате, че може да сте цел, препоръчваме ви да разделите вашите изследователски дейности с помощта на отделни физически или виртуални машини за общо сърфиране в мрежата, да взаимодействате с други хора в изследователската общност“, съветва групата за анализ на заплахите на Google.

 

Източник: По материали от Интернет

Подобни публикации

8 декември 2022

Устойчиви ли са криптовалутите?

Инвестирането в криптовалути през годините донесе богатство на мноз...
6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
Бъдете социални
Още по темата
25/11/2022

Арестуваха 142 души при гло...

В резултат на координирани усилия на...
20/11/2022

Какво представлява DDoS?

Много популярни марки – като Google,...
18/11/2022

Федерална агенция на САЩ е ...

Първоначалното проникване е открито през февруари,...
Последно добавени
08/12/2022

Устойчиви ли са криптовалут...

Инвестирането в криптовалути през годините донесе...
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!