微軟近日透露，他們對“針對安全研究人員的目標攻擊”展開了長期監測，結果發現背後似乎有一個名叫“Zinc”的黑客組織的身影。本週早些時候，谷歌宣稱一個受朝方支持的黑客組織，一直在利用社交網絡來針對安全研究人員。作為攻擊的一部分，攻擊者會先忽悠研究人員合作開展漏洞研究，然後伺機在受害者計算機上利用定制後門的惡意軟件來感染系統。

圖1 -嫌疑賬號（來自：Microsoft）

微軟在近日的一份新報告中指出，過去幾個月，一直有黑客試圖對技術人員和安全企業展開有針對性的攻擊，一些人猜測幕後黑手為Zinc 或Lazarus 組織。

起初，本輪活動被Microsoft Defender for Endpoint 給檢測到，然後逐漸引發了微軟威脅情報中心（MSTIC）團隊的高度注意。

經過持續追踪，MSTIC 認為有相當高的證據表明幕後與受朝方資助的Zinc 黑客組織有關，此外報告中疏理出了攻擊者的技術手段、基礎架構、惡意軟件模式、以及和多個賬戶的隸屬關係。

圖2 – Microsoft Defender for Endpoint 在ComeBacker 上收集到的警告

回溯時間，微軟認為Zinc 早在2020 年中就開始在密謀。首先是利用Twitter 轉發與安全漏洞研究相關的內容，為自己樹立並不斷豐滿所謂的安全研究人員角色。

然後攻擊者會利用其它受控制的傀儡賬號來與之互動，以擴大這些推文的影響力。通過一系列的運作，該組織順利地在安全圈子裡獲得了一定的聲譽，直至將自己捧為“傑出的安全研究人員”並吸引更多追隨者。

作為攻擊的一部分，Zinc會假裝邀請與目標安全研究人員開展合作，但正如穀歌先前的報導那樣，受害者會收到一個被注入了惡意動態鏈接庫（DLL）文件的Visual Studio項目。

圖3 – 基於簽名的可執行文件，被利用來執行低信譽的任意代碼。

當研究人員嘗試編譯該項目的時候，相關漏洞會被用於執行惡意代碼、通過此DLL 安裝有後門的惡意軟件、進而在受害者計算機上檢索信息和執行任意指令。

此外微軟還揭示了被Zinc 黑客組織利用的其它攻擊手段，甚至能夠在部署了最新系統補丁和Google Chrome 瀏覽器上，通過訪問精心製作的黑客網站來感染部分受害者。

考慮到谷歌方面尚不確定這些受害者是如何中招的，我們暫且只能假定攻擊者使用了未公開披露的零日漏洞。