Хакерска група, финансирана от правителството на Северна Корея, се е насочила към изследователи по сигурността, които се фокусират върху уязвимости. Те развиват атаките си чрез социалните мрежи, разкри Google.
Според доклад, публикуван тази вечер от екипа за анализ на заплахите на Google, хакерска група, подкрепена от правителството на Северна Корея, използва социални мрежи, за да се насочи към изследователите по сигурността и да зарази компютрите им с персонализиран злонамерен софтуер.
Хакерите създават фалшиви профили и блогове в Twitter, за да изградят фалшива личност, която се представя като изследовател по сигурността. След това тези акаунти се използват за връзка с целеви изследователи по сигурността чрез социални медии, включително Twitter, LinkedIn, Telegram, Discord, Keybase и по имейл.
Като част от изграждането на тази фалшива самоличност, корейците пишат статии, анализиращи съществуващи уязвимости или създават видеоклипове, показващи PoCs, за които се твърди, че вече са разработени.
В един случай, разкрит от Google, бандитите бяха обвинени за разпространението на фалшив видеоклип на PoC и те от своя страна започнаха да създават фалшиви акаунти в Twitter, за да опровергаят твърденията, че PoC е фалшив.
„Множество коментари в YouTube установиха, че видеоклипът е фалшифициран и че не е демонстриран работещ експлойт. След като тези коментари бяха направени, хакерите използваха втори акаунт в Twitter (който те контролират), за да ретуитват оригиналната публикация и да твърдят, че видеото е истинско, обясниха от Google в доклада си.
След установяване на контакт с изследовател по сигурността, бандитите го питат дали би искал сътрудничество при изследване на уязвимостта. Като част от това сътрудничество, те пращат проект на Visual Studio на изследователя, който съдържа техния PoC експлойт, както и злонамерен скрит DLL на име „vcxproj.suo“.
Когато изследователят се опита да изгради експлойт на PoC, ще се изпълни команда PowerShell, която проверява дали потребителят изпълнява 64-битови версии на Windows 10, Windows Server 2019 и Windows Server 2016. Ако проверките преминат, командата PowerShell ще изпълни злонамерената DLL чрез rundll32.exe.
Google заявява, че тази DLL е персонализирана задна врата, инжектирана в паметта и ще се свърже със сървър за команди и контрол.
Google обясни, че някои изследователи също са били заразени само чрез посещение на експлойт запис в блога на хакерите .br0vvnn [.] Io сайт. Тези изследователи са използвали напълно ъпдейтнати устройства с Windows 10 с най-новия Google Chrome, което показва, че севернокорейците използват уязвимости от нулев ден, за да заразят своите посетители.
Въпреки че Google не е посочил крайната цел на тези атаки, е твърде вероятно да се цели кражба на неразкрити уязвимости в сигурността и експлойти въз основа на целевите потребители.
Google съобщи още, че акаунтите в Twitter, използвани в тази хакерска кампания, са br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 и z0x55g.
Изследователите по сигурността признават, че са били обекти на насочени атаки
Откакто Google публикува доклада, изследователите по сигурността започнаха да споделят своя опит със заплахата.
Google предлага следните съвети за заинтересованите, към които тази хакерска група е насочена.
„Ако се притеснявате, че може да сте цел, препоръчваме ви да разделите вашите изследователски дейности с помощта на отделни физически или виртуални машини за общо сърфиране в мрежата, да взаимодействате с други хора в изследователската общност“, съветва групата за анализ на заплахите на Google.
