朝鮮方面支持的黑客被指利用0day攻擊安全研究人員
朝鮮支持的黑客再次利用零日漏洞和相關惡意軟件對安全研究人員進行攻擊,企圖滲透他們用於進行涉及網絡安全的敏感調查的計算機。Google研究人員周四表示,目前尚未修復的零日漏洞–意指在硬件或軟件供應商提供安全補丁之前,攻擊者就已經知道的漏洞–存在於目標研究人員使用的一個流行軟件包中。
在他們私下通知的供應商發布補丁之前,他們拒絕透露該軟件的身份或提供有關該漏洞的詳細信息。黑客在花了數週時間與研究人員建立工作關係後,向他們發送了一個惡意文件,從而利用了該漏洞。
Google威脅分析小組的研究人員克萊門特-萊西涅(Clement Lecigne)和瑪迪-斯通(Maddie Stone)說,這次攻擊活動中使用的惡意軟件與之前一次攻擊活動中使用的代碼非常相似,而這次攻擊活動已明確與朝鮮政府支持的黑客有關。2021年1月,Google研究小組以及幾天后的微軟發布的帖子首次引起了公眾的注意。
兩個月後,Google再次發布報告稱,同一威脅行為者在被揭露後非但沒有低調,反而捲土重來,這次他利用IE瀏覽器的一個零日漏洞瞄準了研究人員。微軟追踪到這個名為”Zinc”的黑客組織,並於當月修補了該漏洞。
今年3 月,安全公司Mandiant 的研究人員稱,他們也發現了朝鮮支持的黑客(被追踪為UNC2970)以研究人員為目標。Mandiant 的研究人員說,他們在2022 年6 月首次觀察到UNC2970 的活動。
2021 年的做法與Google最近幾週觀察到的相同。黑客冒充安全研究人員,在博客或社交媒體上發布與安全相關的內容。他們耐心地與真正的研究人員發展關係,隨後將他們的討論帶到私人論壇。最終,假冒的研究人員會與研究人員分享木馬漏洞或分析工具,試圖讓他們在自己的個人計算機上運行。
在周四的文章中,Google威脅分析小組的研究人員寫道:
與TAG 之前報導的活動類似,朝鮮威脅行為者利用X(前Twitter)等社交媒體網站與目標建立關係。在一個案例中,他們進行了長達數月的對話,試圖與一名安全研究人員就共同感興趣的話題進行合作。通過X 進行初步接觸後,他們轉而使用Signal、WhatsApp 或Wire 等加密信息應用程序。一旦與目標研究人員建立關係,威脅行為者就會發送一個惡意文件,其中至少包含一個流行軟件包中的0-day。
由行為者控制的Twitter 配置文件
成功利用後,shellcode 會進行一系列反虛擬機檢查,然後將收集到的信息和截圖一起發送回攻擊者控制的命令和控制域。該漏洞利用程序中使用的shellcode 與以前朝鮮漏洞利用程序中使用的shellcode 結構類似。
帖子稱,除了利用當前的零日漏洞,同一個黑客組織似乎還在共享同樣針對研究人員的軟件。該工具於2022 年9 月首次發佈到GitHub,並在本帖上線前一小時被刪除,它提供了一種調試或分析軟件的有用手段。
“從表面上看,這個工具似乎是一個有用的工具,可以快速、輕鬆地從多個不同來源下載符號信息。符號提供了二進製文件的附加信息,在調試軟件問題或進行漏洞研究時很有幫助,但該工具還能從攻擊者控制的域中下載並執行任意代碼。”研究人員寫道。
研究人員敦促運行過該程序的人”確保你的系統處於已知的干淨狀態,很可能需要重新安裝操作系統”。該帖子包括文件哈希值、IP 地址和其他數據,人們可以用它們來辨別自己是否已成為攻擊目標。