Аналитики Google Threat Analysis Group (TAG) предупреждают, что северокорейские хакеры нацелились на ИБ-специалистов, занимающихся исследованиями уязвимостей.
В отчете экспертов сказано, что «правительственные» хакеры из Северной Кореи использовали ряд профилей в социальных сетях, включая Twitter, LinkedIn, Telegram, Discord и Keybase, чтобы связаться с исследователями, используя вымышленные личности. Также иногда для этих целей использовалась и электронная почта.
Установив контакт со специалистом, хакеры предлагали ему вместе поработать над неким исследованием и предоставляли доступ к проект Visual Studio. Разумеется, этот проект содержал вредоносный код, который заражал систему специалиста малварью. Вредонос, который позже удалось связать с известной хак-группой Lazarus, работал как обычный бэкдор, связываясь с удаленным сервером в ожидании команд.
KTAE code similarity analysis for the malware used to target security researchers involved in 0day analysis and development. "Manuscrypt" (also known as FALLCHILL) is typically used by the Lazarus APT. ? pic.twitter.com/hXxuJIj9Lc
— Costin Raiu (@craiu) January 26, 2021
Однако злоумышленники не всегда заражали системы своих целей малварью напрямую. В некоторых других случаях они просили исследователей посетить блог по адресу blog[.]br0vvnn[.]io, где так же размещался вредоносный код. Google TAG подчеркивает, что многие жертвы, которые посещали этот сайт, использовали «полностью безопасные и обновленные версии Windows 10 и Chrome», но все равно подвергались компрометации.
Хотя детальной информации об атаках через браузер пока нет, исследователи полагают, что для этого северокорейская группа могла использовать комбинацию уязвимостей нулевого дня в Chrome и Windows 10.
Теперь специалисты Google TAG просят членов ИБ-сообщества поделиться более подробной информацией об атаках, особенно если кто-то из исследователей считает, что они стали жертвами такой компрометации.
