Eine von der nordkoreanischen Regierung unterstützte Kampagne richtet sich seit Monaten an Sicherheitsforscher auf der ganzen Welt, wie Google mitteilte. Bedrohungsanalysegruppe TAG.
Es stellte sich heraus, dass die Forscher gezielt an der Erforschung und Entwicklung von Schwachstellen in verschiedenen Unternehmen und Organisationen beteiligt waren und dass sich die schlechten Akteure meist selbst als Forscher ausgaben, um ihr Vertrauen zu gewinnen.
SIEHE AUCH: EIN LEITFADEN ZUM SCHUTZ SICH GEGEN WEB-SHELL-ANGRIFFE
Um an Glaubwürdigkeit zu gewinnen, haben die schlechten Schauspieler ihre eigenen Forschungsblogs und Profile auf Twitter, LinkedIn, Telegramm, Zwietracht, Keybase und E-Mail erstellt. Anschließend haben sie sich an die Forscher gewandt und Links zu ihren gefälschten Blogs gesendet, die gefüllt wurdenmit Analyse von Schwachstellen, die öffentlich geteilt wurden, um legitim auszusehen, erklärt TAG .
Sobald die Kommunikation offen war und Vertrauen gewonnen wurde, baten die schlechten Akteure um gemeinsame Zusammenarbeit bei einem Schwachstellenforschungsprojekt. Anschließend schickten sie ihren Opfern ein Microsoft Visual Studio-Projekt mit Malware, mit dem sie Zugang zu den Systemen der Forscher erhielten.
Zu anderen Zeiten wurden einige Systeme der Forscher kompromittiert, nachdem auf einen vom schlechten Schauspieler bereitgestellten Link geklickt wurde. Beide Methoden ermöglichten es den schlechten Schauspielern, eine Hintertür zu erhalten. Zugang zu den Computern der Forscher.
Wie die TAG feststellte, wurden die Computer der Opfer kompromittiert, da sie vollständig gepatcht und auf dem neuesten Stand waren. Windows 10 und Chrome-Browser, und TAG hat nur die gesehen Windows 'Systemangriffe bisher.
Die TAG-Team hat aufgelistet Einige der gefundenen Konten und Websites der Angreifer und einige Opfer dieser Angriffe haben Warnungen auf Plattformen wie Twitter veröffentlicht, wie unten zu sehen ist :
Hier ist ihr erster Kontakt. Twitter hat das Konto gelöscht, aber sie sagten nur "Hallo" und "Hallo", um die ersten beiden Nachrichten aufzufordern, und fragten dann, ob ich die Windows-Kernel-Ausnutzung durchführen kann. pic.twitter.com/VJmo4yzPoC
- Richard Johnson @richinseattle 26. Januar 2021
Hallo @ShaneHuntley siehe meinen Thread, z0x55g hat mich ins Visier genommen und ist derzeit noch im Telegramm unter Benutzer kw0dem aktiv. Ich kann das .suo-Beispiel bereitstellen, wenn es hilft
- Richard Johnson @richinseattle 26. Januar 2021
Und Shane Huntley von Google hat Forscher über Twitter gewarnt :
Zusätzlich zur Ausrichtung auf Benutzer über Social Engineering haben wir auch mehrere Fälle beobachtet, in denen Forscher nach dem Besuch des Blogs der Schauspieler kompromittiert wurden.
- Shane Huntley @ShaneHuntley 26. Januar 2021
Auf den Opfersystemen wurde Windows 10 und Chrome vollständig gepatcht und auf dem neuesten Stand gehalten.