Группа анализа угроз (Threat Analysis Group, TAG) компании Google сообщает, что северокорейские государственные хакеры вновь атакуют исследователей безопасности, используя как минимум один "нулевой день" в нераскрытом популярном программном обеспечении.
Исследователи, подвергшиеся нападению в ходе этой кампании, занимаются исследованием и разработкой уязвимостей, утверждает группа экспертов Google по безопасности, защищающая пользователей компании от атак, спонсируемых государством.
Google пока не раскрывает подробностей о дефекте нулевого дня, использованном в этих атаках, и названия уязвимого программного обеспечения, вероятно, потому, что производитель все еще находится в процессе исправления уязвимости.
"TAG известно как минимум об одной активно эксплуатируемой уязвимости "нулевого дня", которая использовалась для атак на исследователей безопасности в течение последних нескольких недель", - заявили представители Google TAG Клемент Лецинь (Clement Lecigne) и Мэдди Стоун (Maddie Stone).
"Об этой уязвимости было сообщено соответствующему производителю, и в настоящее время она исправляется".
Для связи с целями используются Mastodon и Twitter
Злоумышленники используют социальные сети Twitter и Mastodon для привлечения исследователей безопасности к переходу на платформы обмена зашифрованными сообщениями, такие как Signal, Wire или WhatsApp.
После установления отношений и перехода на защищенные каналы связи злоумышленники отправляют им вредоносные файлы, предназначенные для эксплуатации "нулевого дня".
Полезная нагрузка shellcode, развернутая на системах исследователей, проверяет, запущена ли она в виртуальной машине, а затем отправляет собранную информацию (включая скриншоты) на командно-контрольные серверы злоумышленников.
Кроме того, для реверс-инженеров используется инструмент с открытым исходным кодом GetSymbol, который должен помогать только загружать отладочные символы Microsoft, Google, Mozilla и Citrix, но вместо этого позволяет загружать и исполнять произвольный код.
"Если вы загрузили или запустили этот инструмент, TAG рекомендует принять меры предосторожности, чтобы убедиться, что ваша система находится в заведомо чистом состоянии, что, вероятно, потребует переустановки операционной системы", - предупреждают Лецинь и Стоун.
Атака ведется по крайней мере с января 2021 года
Эта кампания похожа на предыдущую, раскрытую в январе 2021 года, которая также использовала Twitter и другие социальные сети, такие как LinkedIn, Telegram, Discord и Keybase, в качестве вектора первоначального контакта, предположительно организованного теми же субъектами.
В этих атаках северокорейские угрозы также использовали "нулевые дни" для заражения полностью пропатченных систем Windows 10 бэкдорами и вредоносными программами, похищающими информацию.
Компания Microsoft также сообщила, что отслеживала атаки в январе 2021 года и видела, как операторы Lazarus Group заражали устройства исследователей с помощью MHTML-файлов с вредоносным JavaScript-кодом.
В марте 2021 года компания Google TAG сообщила о возобновлении атак, направленных на исследователей безопасности с использованием поддельных учетных записей в социальных сетях LinkedIn и Twitter, а также поддельной компании SecuriElite.
Ранее в марте этого года компания Mandiant также обнаружила и разоблачила предполагаемую северокорейскую хакерскую группу, атакующую исследователей безопасности и медийные организации в США и Европе с помощью поддельных предложений о работе с целью заражения их новым вредоносным ПО.
Несмотря на то, что компания Google не раскрывает цели этих атак, их основной задачей, по-видимому, является получение нераскрытых уязвимостей и эксплойтов безопасности, направленных на конкретных исследователей.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
