朝鲜国家攻击合法的安全研究人员
根据谷歌威胁分析小组的一份新报告,在行业内定位行业内的合法安全研究人员的持续活动似乎是基于朝鲜的政府支持的实体的工作,这是一份来自谷歌威胁分析小组的新报告,该报告已经追踪了几个月的竞选活动。
本集团成员花费了时间和精力,作为合法网络安全研究人员自己,建立研究博客,并使用袜子傀儡推特配置文件与他们的目标进行互动并放大自己的范围。
研究博客包含许多关于公开披露的漏洞的次写作和分析,例如在合法的安全网站上可以看出,甚至携带客户帖子免于不知情的安全研究人员。
该集团还发布了许多利用概念证明 - 包括youtube视频,该视频被声称展示CVE-2021-1647 CVE-2021-1647的Windows Defender漏洞,这是由Microsoft于1月13日修补的。毋庸置疑,视频是假的,没有证明工作漏洞。
谷歌的Adam Weidemann解释了该组织如何使用新颖的技术来针对特定的安全研究人员。“在建立初始通信后,如果他们想在一起的漏洞研究,那么询问目标研究人员,然后向研究员提供视觉工作室项目,”他写道。
“在Visual Studio项目中,将是用于利用漏洞的源代码,以及将通过Visual Studio构建事件执行的额外DLL [动态链接库]。DLL是自定义恶意软件,它将立即开始与演员控制的C2 [命令和控制]域进行通信。“
魏德曼说,除了通过社会工程定位其受害者之外,一些研究人员在访问博客后受到损害。在这些情况下,受害者遵循恶意Twitter链接,使组访问他们的系统来安装恶意服务,这使得能够将内存返回到信标在C2服务器上。
涉及此妥协的系统已完全修补并运行Microsoft Windows 10和Google自己的Chrome浏览器的最新版本。
Weidemann表示,他的团队无法确认这些实例中使用的妥协机制,但他欢迎任何其他信息,并指出,包括野外漏洞,包括在一个Bug Bounty计划下携带奖励支付的浏览器漏洞。
谷歌的团队发布了一份已知的社交媒体账户和集团使用的别名列表,以与其受害者沟通,以及妥协指标列表,两者都可以在此处审查。
“如果您担心您的目标,我们建议您使用单独的物理或虚拟机进行研究活动,以便与一般的Web浏览,与研究界中的其他人交互,接受来自第三方和您自己的安全研究的文件,”写了魏德曼。
