Google Threat Analysis Group har detaljerat en ny kampanj där de nordkoreanska statsstödda hackarna riktar in sig på säkerhetsforskare via sociala medier. Samtidigt som de ber dem att samarbeta för att undersöka de nya bedrifterna, skickar de till dem programvara och webbadresser som installerar bakdörrar på system, förmodligen för att de stjäl deras forskningsarbete.
Säkerhetsforskare inriktade på en bakdörrskampanj
Att jaga jägaren är ett annorlunda spel, som nu spelas av nordkoreanska statsstödda hackare som upptäckts av Googles Threat Analysis Group. De detaljerade en kampanj där säkerhetsforskarna riktas mot olika sociala medieplattformar som Keybase, LinkedIn, Twitter, E-post, Discord och Telegram.
Nytt blogginlägg från TAG med detaljer om en nordkoreansk kampanj riktad mot säkerhetsforskare som arbetar med sårbarhetsforskning och utveckling.https://t.co/Ec2TaMMXeQ
Håll er säkra där ute alla!
— Shane Huntley (@ShaneHuntley) 26 januari 2021
Hackare här skapar falska profiler och meddelandeforskare för samarbete, och när de kommit överens skulle de skicka ett Visual Studio-projekt med en PoC av deras arbete, som också innehåller en skadlig DLL för att ställa in en bakdörr. Hackare här skapar blogginlägg och några falska PoCs av befintliga sårbarheter för att få mål att tro.
När den öppnats kommer den att leta efter OS-typen och köra den skadliga DLL-filen rundll32.exe. Detta injiceras i minnet och kommer att ansluta till hackarens C2 för kommunikation för att ta emot kommandon. Vissa har också rapporterat att deras system blivit hackade efter att ha besökt en webbplats (öppna inte).
Twitter-konton som upptäckts i den här kampanjen (br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 och z0x55g) har den här webbadressen i sin bio och ville att mål skulle klicka på dem. Även om det exakta syftet med denna kampanj inte är känt ännu, det antas vara för att stjäla arbetet från de riktade forskarna.
Det noteras också att alla mål kör den senaste versionen av Windows 10 och Google Chrome, men ändå infekterade. Det här säger det hackarna använder zero-day exploits för att infektera mål. Därför rådde Google forskare att dela upp sina forskningsarbeten och använda virtualiseringsprogram för att installera sådan misstänkt programvara.