Аналитики Google Threat Analysis Group (TAG) предупреждают, что северокорейские хакеры нацелились на ИБ-специалистов, занимающихся исследованиями уязвимостей.

В отчете экспертов сказано, что «правительственные» хакеры из Северной Кореи использовали ряд профилей в социальных сетях, включая Twitter, LinkedIn, Telegram, Discord и Keybase, чтобы связаться с исследователями, используя вымышленные личности. Также иногда для этих целей использовалась и электронная почта.

Профили хакеров

Установив контакт со специалистом, хакеры предлагали ему вместе поработать над неким исследованием и предоставляли доступ к проект Visual Studio. Разумеется, этот проект содержал вредоносный код, который заражал систему специалиста малварью. Вредонос, который позже удалось связать с известной хак-группой Lazarus,  работал как обычный бэкдор, связываясь с удаленным сервером в ожидании команд.

Однако злоумышленники не всегда заражали системы своих целей малварью напрямую. В некоторых других случаях они просили исследователей посетить блог по адресу blog[.]br0vvnn[.]io, где так же размещался вредоносный код. Google TAG подчеркивает, что многие жертвы, которые посещали этот сайт, использовали «полностью безопасные и обновленные версии Windows 10 и Chrome», но все равно подвергались компрометации.

Хотя детальной информации об атаках через браузер пока нет, исследователи полагают, что для этого северокорейская группа могла использовать комбинацию уязвимостей нулевого дня в Chrome и Windows 10.

Теперь специалисты Google TAG просят членов ИБ-сообщества поделиться более подробной информацией об атаках, особенно если кто-то из исследователей считает, что они стали жертвами такой компрометации.

Оставить мнение