Хакеры использовали различные методы, чтобы выдать себя за законных исследователей.
Вкратце: Google подробно рассказал, как хакеры из Северной Кореи развернули сложную кампанию социальной инженерии, чтобы заразить исследователей кибербезопасности вредоносным ПО. Кампания включала в себя многочисленные учетные записи в социальных сетях и даже исследовательский «блог», созданный для повышения доверия. Некоторые исследователи были заражены с помощью файлов Visual Studio, встроенных в вредоносное ПО, в то время как другие были заражены при простом посещении веб-сайта..
По данным Google Threat Analysis Group, спонсируемые государством северокорейские хакеры нацелены на исследователей безопасности с помощью социальной инженерии. В своем сообщении в блоге группа сообщает, что кампания была специально нацелена на исследователей, занимающихся исследованиями и разработками уязвимостей. Кампания продолжается «последние несколько месяцев».
Хакеры попытались установить контакт с сообществом исследователей безопасности, создав блог и несколько учетных записей. В самом блоге были опубликованы описания ранее обнаруженных уязвимостей и «посты гостей» с подписью законных исследователей безопасности. Различные учетные записи будут публиковать ссылки на свой блог, ретвитить другие сообщения и ссылаться на видео YouTube с предполагаемыми эксплойтами. Google говорит, что это, вероятно, была попытка завоевать доверие других исследователей..
В одном видео на YouTube утверждалось, что используется CVE-2021-1647, настоящая уязвимость Защитника Windows, которую Microsoft недавно исправила. Однако Google (вместе с проницательными комментаторами YouTube) заметил, что видео было подделкой. Злоумышленники попытались удвоить количество заявлений об эксплойтах, ретвитнув видео, используя другую учетную запись, заявив, что «Я думаю, что это не фальшивка».
Как только хакеры устанавливают связь с исследователем безопасности, они приглашают человека для совместной работы над «исследованием». Затем злоумышленники отправляют цели файл проекта Visual Studio, содержащий вредоносное ПО. При открытии файла вредоносная программа устанавливает соединение с хакерами..
Что еще страшнее, Google подтвердил, что некоторые исследователи были заражены, просто посетив блог хакеров. Полностью пропатченная система Windows 10 и современный браузер Chrome не остановили заражение. К сожалению, Google не смог точно проверить, как были заражены полностью обновленные системы исследователей, кроме как все они щелкнули ссылку на блог, который тайно установил вредоносную службу. Эта служба создает в памяти бэкдор для сервера управления и контроля..
Злоумышленники использовали несколько социальных сетей для нацеливания на исследователей безопасности, включая Telegram, Discord и Keybase. Google услужливо перечислил все известные учетные записи и домены, используемые злоумышленниками. Это вызывает беспокойство, потому что показывает, что даже опытных экспертов по кибербезопасности можно обмануть с помощью достаточно сложной кампании социальной инженерии. Любой, кто интересуется исследованиями в области безопасности, должен прочитать полную запись в блоге, чтобы уменьшить свои шансы стать целью.
