Google опубликовал отчет, в котором говорится, что хакеры из Северной Кореи нацелены на исследователей безопасности в социальных сетях. уязвимости, нападки обнаружено группой анализа угроз Google (ТЕГ), группа безопасности Google, специализирующаяся на поиске APT взлом групп.
В частности, Google сообщил, что северокорейские хакеры использовали профили в различных популярных социальных сетях, таких как Twitter, ХО LinkedIn, ХО Telegram, ХО Раздор и Keybase - общаться со следователями безопасности, используя вымышленные личности. В некоторых случаях хакеры даже пытались связаться со следователями по электронной почте.
Адам Вайдеманн, исследователь безопасности в Google TAG, сказал, что после того, как хакеры установили начальные коммуникации, они спросили целевого исследователя, хотят ли они сотрудничать в исследовании уязвимости, а затем предоставили исследователю проект Visual Studio.
Проект Visual Studio содержал вредоносный код, который он устанавливал. вредоносных программ в операционной системе целевого исследователя. Вредоносная программа работала как задняя дверь, общение с удаленным C&C сервером и ожидание заказов.
Видеманн пояснил, что злоумышленники не всегда распространяли вредоносные файлы по своим целям. В некоторых случаях исследователей безопасности просят посетить блог, размещенный в этом блоге. [.] Br0vvnn [.] Ио. По данным Google, в блоге размещен вредоносный код, который «заразил» компьютер исследователя безопасности после получения доступа к сайту. В частности, Вайдеманн отметил, что в системе исследователя устанавливалась вредоносная служба и бэкдор в памяти, который начал передавать данные на командный сервер, контролируемый хакерами.
Google TAG добавил, что многие жертвы, имеющие доступ к сайту, используют "полностью обновленные версии Окна 10 и Chrome браузер », однако они снова были« заражены ».
Детали атак через браузер пока минимальны. Однако некоторые исследователи безопасности считают, что северокорейские хакеры могли использовать комбинацию уязвимостей в Chrome и Windows 10 для разработки вредоносного кода.
Таким образом, команда Google TAG просит сообщество кибербезопасности поделиться дополнительной информацией об этих атаках, если какие-либо исследователи безопасности считают, что они были заражены.
Отчет Google TAG включает список ссылок на поддельные профили в социальных сетях, которые северокорейские хакеры используют для связи со следователями.
Кроме того, специалистам по безопасности рекомендуется просмотреть историю просмотров и выяснить, взаимодействуют ли они с каким-либо из этих профилей или имеют ли они доступ к вредоносному домену. blog.br0vvnn.io. Если это так, они с большей вероятностью могут быть заражены, и им необходимо будет предпринять некоторые шаги для исследования своих систем.
Согласно ZDNet, северокорейские хакеры нацелены на исследователей безопасности, стремящихся украсть эксплойты для уязвимостей, обнаруженных зараженными исследователями, уязвимостей, с помощью которых злоумышленники могут разрабатывать свои атаки с минимальной разработкой или без нее.
Между тем, несколько следователей по безопасности уже сообщили в социальных сетях, что они получали сообщения от учетных записей злоумышленников, хотя никто не признал, что системы были скомпрометированы.
Greek
Chinese (Simplified)
English
Greek
Russian