Хакерска група, финансирана от правителството на Северна Корея, се е насочила към изследователи по сигурността, които се фокусират върху уязвимости. Те развиват атаките си  чрез социалните мрежи, разкри Google.

Според доклад, публикуван тази вечер от екипа за анализ на заплахите на Google, хакерска група, подкрепена от правителството на Северна Корея, използва социални мрежи, за да се насочи към изследователите по сигурността и да зарази компютрите им с персонализиран злонамерен софтуер.

Хакерите създават фалшиви профили и блогове в Twitter, за да изградят фалшива личност, която се представя  като изследовател по сигурността. След това тези акаунти се използват за връзка с целеви изследователи по сигурността чрез социални медии, включително Twitter, LinkedIn, Telegram, Discord, Keybase и по имейл.

Като част от изграждането на тази фалшива самоличност, корейците пишат статии, анализиращи съществуващи уязвимости или създават видеоклипове, показващи PoCs, за които се твърди, че вече са разработени.

В един случай, разкрит от Google, бандитите бяха обвинени за разпространението  на фалшив видеоклип на PoC и те от своя страна започнаха да създават фалшиви акаунти в Twitter, за да опровергаят твърденията, че PoC е фалшив.

„Множество коментари в YouTube установиха, че видеоклипът е фалшифициран и че не е демонстриран работещ експлойт. След като тези коментари бяха направени, хакерите използваха втори акаунт в Twitter (който те контролират), за да ретуитват оригиналната публикация и да твърдят, че  видеото е истинско, обясниха от Google в доклада си.

След установяване на контакт с изследовател по сигурността, бандитите го питат дали би искал сътрудничество при изследване на уязвимостта. Като част от това сътрудничество, те  пращат проект на Visual Studio на изследователя, който съдържа техния PoC експлойт, както и злонамерен скрит DLL на име „vcxproj.suo“.

Когато изследователят се опита да изгради експлойт на PoC, ще се изпълни команда PowerShell, която проверява дали потребителят изпълнява 64-битови версии на Windows 10, Windows Server 2019 и Windows Server 2016. Ако проверките преминат, командата PowerShell ще изпълни злонамерената DLL чрез rundll32.exe.

Google заявява, че тази DLL е персонализирана задна врата, инжектирана в паметта и ще се свърже със сървър за команди и контрол.

Google обясни, че някои изследователи също са били заразени само чрез посещение на експлойт запис в блога на хакерите .br0vvnn [.] Io сайт. Тези изследователи са използвали напълно ъпдейтнати устройства с Windows 10 с най-новия Google Chrome, което показва, че севернокорейците използват уязвимости от нулев ден, за да заразят своите посетители.

Въпреки че Google не е посочил крайната цел на тези атаки, е твърде вероятно да се цели кражба на неразкрити уязвимости в сигурността и експлойти въз основа на целевите потребители.

Google съобщи още, че акаунтите в Twitter, използвани в тази хакерска кампания, са br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 и z0x55g.

Изследователите по сигурността признават, че са били обекти на насочени атаки

Откакто Google публикува доклада, изследователите по сигурността започнаха да споделят своя опит със заплахата.

Google предлага следните съвети за заинтересованите, към които тази хакерска група е насочена.

„Ако се притеснявате, че може да сте цел, препоръчваме ви да разделите вашите изследователски дейности с помощта на отделни физически или виртуални машини за общо сърфиране в мрежата, да взаимодействате с други хора в изследователската общност“, съветва групата за анализ на заплахите на Google.

 

Източник: По материали от Интернет

Подобни публикации

Хакери продават личните данни на над милиард ки...

Съобщава се, че хакери са откраднали данните на около един милиард ...
4 юли 2022

Хакнаха акаунти на британската армия

Оперативната сигурност (opsec) на британската армия беше поставена ...
3 юли 2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години за изпълнение. Ето девет кратки,...
2 юли 2022

Глобиха Clearview AI и в Обединеното кралство

На базираната в САЩ компания е наредено да изтрие всички лични данн...

Най-добрите безплатни инструменти за премахване...

Пейзажът на заплахите за киберсигурността се развива и разширява вс...

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват, за да инстал...

Можете ли да получите част от колективното обез...

Facebook ще трябва да плати 90 милиона долара за колективно къдебно...
29 юни 2022

Украйна разби фишинг банда

Украинските сили за киберсигурност арестуваха девет души от престъп...
Бъдете социални
Още по темата
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
01/07/2022

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват,...
29/06/2022

Украйна разби фишинг банда

Украинските сили за киберсигурност арестуваха девет...
Последно добавени
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
04/07/2022

Хакнаха акаунти на британск...

Оперативната сигурност (opsec) на британската армия...
03/07/2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години...
Ключови думи