Pod koniec stycznia 2021 r. Firma Google Threat Analysis Group ujawniła, że ​​grupa północnokoreańskich hakerów jest skierowany do analityków bezpieczeństwa online, w szczególności do osób pracujących nad lukami w zabezpieczeniach i exploity.

Teraz Microsoft potwierdził, że śledzi również zespół hakerów KRLD, co ujawnił niedawno opublikowany raport.

Microsoft Tracking North Korean Hacking Group

W raporcie opublikowanym na Bezpieczeństwo firmy Microsoft blog, zespół ds. analizy zagrożeń firmy Microsoft szczegółowo opisuje swoją wiedzę na temat grupy hakerskiej powiązanej z KRLD. Microsoft śledzi grupę hakerską jako „ZINC”, podczas gdy inni badacze bezpieczeństwa wybierają bardziej znaną nazwę „Lazarus”.

Związane z: Najbardziej znane zorganizowane gangi cyberprzestępcze

5 najbardziej znanych zorganizowanych gangów cyberprzestępczych

Cyberprzestępczość to zagrożenie, które stanowi wyzwanie dla nas wszystkich. Zapobieganie wymaga edukacji, więc czas poznać najgorsze grupy cyberprzestępcze.

instagram viewer

Zarówno raporty Google, jak i Microsoft wyjaśniają, że trwająca kampania wykorzystuje media społecznościowe do rozpoczęcia normalnych rozmów z analitykami bezpieczeństwa przed wysłaniem im plików zawierających backdoora.

Zespół hakerski prowadzi kilka kont na Twitterze (wraz z LinkedIn, Telegram, Keybase, Discord i innymi) platformy), które powoli publikowały uzasadnione wiadomości dotyczące bezpieczeństwa, budując reputację zaufanego źródło. Po pewnym czasie konta kontrolowane przez aktorów kontaktowały się z badaczami bezpieczeństwa, zadając im konkretne pytania dotyczące ich badań.

Gdyby analityk bezpieczeństwa odpowiedział, grupa hakerska spróbowałaby przenieść rozmowę na inną platformę, taką jak Discord lub e-maile.

Po ustanowieniu nowej metody komunikacji, osoba będąca zagrożeniem wyśle ​​zhakowany projekt Visual Studio, mając nadzieję, że badacz bezpieczeństwa uruchomi kod bez analizowania zawartości.

Związane z: Co to jest backdoor i do czego służy?

Północnokoreański zespół hakerski dołożył wszelkich starań, aby ukryć złośliwy plik w programie Visual Projekt Studio, polegający na zamianie standardowego pliku bazy danych na złośliwą bibliotekę DLL wraz z innymi metodami zaciemniania metody.

Według Raport Google w kampanii złośliwy backdoor nie jest jedyną metodą ataku.

Oprócz kierowania reklam do użytkowników za pomocą inżynierii społecznej, zaobserwowaliśmy również kilka przypadków, w których naukowcy zostali przejęci po odwiedzeniu bloga aktorów. W każdym z tych przypadków naukowcy kliknęli odsyłacz na Twitterze do artykułu umieszczonego na blogu blog.br0vvnn [.] Io, a wkrótce potem złośliwa usługa została zainstalowana w systemie badacza, a backdoor w pamięci zaczął przesyłać sygnał do dowództwa i kontroli należącego do aktora serwer.

Microsoft uważa, że ​​„prawdopodobnie na blogu znajdował się exploit przeglądarki Chrome”, chociaż nie zostało to jeszcze zweryfikowane przez żaden z zespołów badawczych. Co więcej, zarówno Microsoft, jak i Google uważają, że do uzupełnienia tego wektora ataku wykorzystano exploit zero-day.

Celowanie w naukowców zajmujących się bezpieczeństwem

Bezpośrednim zagrożeniem tego ataku są badacze bezpieczeństwa. Kampania była skierowana w szczególności do badaczy bezpieczeństwa zaangażowanych w wykrywanie zagrożeń i badania luk w zabezpieczeniach.

Nie będę kłamać, fakt, że byłem celem, jest słodkim potwierdzeniem moich umiejętności;) https://t.co/1WuIQ7we4R

- Aliz (@ AlizTheHax0r) 26 stycznia 2021 r

Jak często widzimy w przypadku wysoce ukierunkowanych ataków tego rodzaju, zagrożenie dla ogółu społeczeństwa pozostaje niskie. Jednak utrzymywanie aktualności przeglądarki i programów antywirusowych jest zawsze dobrym pomysłem, podobnie jak nie klikanie i podążanie za przypadkowymi linkami w mediach społecznościowych.

E-mail
5 Popularne aplikacje zabezpieczające i zapewniające prywatność, które należy odinstalować i wymienić

Nie wszystkie aplikacje zabezpieczające i zapewniające prywatność są sobie równe. Oto pięć aplikacji zabezpieczających i zapewniających prywatność, które należy odinstalować i czym je zastąpić.

Powiązane tematy
  • Bezpieczeństwo
  • Wiadomości techniczne
  • Microsoft
  • Tylne drzwi
O autorze
Gavin Phillips (708 opublikowanych artykułów)

Gavin jest młodszym redaktorem dla Windows and Technology Explained, stałym współpracownikiem Really Useful Podcast, a także redaktorem siostrzanej witryny MakeUseOf, Blocks Decoded, skupiającej się na kryptografii. Posiada tytuł licencjata (z wyróżnieniem) w zakresie współczesnego pisania z praktykami sztuki cyfrowej zrabowanych ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie w pisaniu. Uwielbia herbatę, gry planszowe i piłkę nożną.

Więcej od Gavina Phillipsa

Zapisz się do naszego newslettera

Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Jeszcze jeden krok…!

Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.

.