Microsoft считает, что хакеры из КНДР использовали Chrome Zero-Day
К концу января 2021 года группа анализа угроз Google выявила, что группа северокорейских хакеров нацелена на исследователей безопасности в Интернете, в частности, разыскивая тех, кто работает над уязвимостями и эксплойтами.
Теперь Microsoft подтвердила, что она также отслеживает действия хакерской группы КНДР, о чем говорится в недавно опубликованном отчете.
Microsoft отслеживает северокорейскую хакерскую группу
В отчете, опубликованном в блоге Microsoft Security , группа Microsoft Threat Intelligence подробно описывает свои знания о хакерской группе, связанной с КНДР. Microsoft отслеживает эту хакерскую группу как «ZINC», в то время как другие исследователи безопасности выбирают более известное имя «Lazarus».
В отчетах Google и Microsoft объясняется, что текущая кампания использует социальные сети, чтобы начать нормальный диалог с исследователями безопасности, прежде чем отправлять им файлы, содержащие бэкдор.
Команда хакеров имеет несколько учетных записей Twitter (наряду с LinkedIn, Telegram, Keybase, Discord и другими платформами), которые постепенно публикуют достоверные новости безопасности, создавая репутацию надежного источника. Через некоторое время учетные записи, контролируемые участниками, будут обращаться к исследователям безопасности, задавая им конкретные вопросы об их исследованиях.
Если исследователь безопасности ответит, группа хакеров попытается перенести беседу на другую платформу, такую как Discord или электронную почту.
Как только новый метод связи будет установлен, злоумышленник отправит скомпрометированный проект Visual Studio, надеясь, что исследователь безопасности запустит код без анализа содержимого.
Команда хакеров из Северной Кореи приложила все усилия, чтобы замаскировать вредоносный файл в рамках проекта Visual Studio, заменив стандартный файл базы данных на вредоносную DLL, а также другие методы обфускации.
Согласно отчету Google о кампании, вредоносный бэкдор – не единственный метод атаки.
Помимо нацеливания на пользователей с помощью социальной инженерии, мы также наблюдали несколько случаев, когда исследователи были скомпрометированы после посещения блога актеров. В каждом из этих случаев исследователи переходили по ссылке в Твиттере на рецензию, размещенную на blog.br0vvnn [.] Io, и вскоре после этого в системе исследователя была установлена вредоносная служба и начался бэкдор в памяти. передача сигнала на сервер управления и контроля, принадлежащий субъекту.
Microsoft считает, что «в блоге, скорее всего, был размещен эксплойт браузера Chrome», хотя это еще не подтверждено ни одной исследовательской группой. Вдобавок и Microsoft, и Google считают, что для завершения этого вектора атаки был использован эксплойт нулевого дня.
Ориентация на исследователей безопасности
Непосредственная угроза этой атаки для исследователей безопасности. Кампания специально нацелена на исследователей безопасности, занимающихся обнаружением угроз и исследованием уязвимостей.
Не буду лгать, тот факт, что на меня напали, – сладкое подтверждение моих навыковz;) https://t.co/1WuIQ7we4R
– Aliz (@ AlizTheHax0r) 26 января 2021 г.
Как мы часто видим в случае высокоцелевых атак такого рода, угроза для населения остается низкой. Тем не менее, всегда полезно обновлять браузер и антивирусные программы, как и не переходить по случайным ссылкам в социальных сетях.