行业遭到与零日浏览器和操作系统漏洞的合理链接攻击的震动
安全研究人员被广泛针对黑客竞选归因于朝鲜国家资助的威胁行为者。
昨天(1月25日),Google的威胁分析小组(标签)披露的详细信息它说的行动是由朝鲜政府支持的袭击者进行的。
Google说,在过去的几个月中,该小组针对安全脆弱性研究人员的目的感染他们使用恶意软件的机器。
恶意软件打开了一个后门,该后门有助于折衷机器和攻击者控制的命令和控制服务器之间的通信。
Google表示,即使在运行最新版本的Chrome浏览器和Windows 10的计算机上,攻击也是成功的,这引起了恶意黑客正在利用的担忧零日漏洞。
这恶意软件包含与朝鲜有联系的APT38或Lazarus Group先前使用的技术。
在面纱后面
Google详细介绍了威胁参与者如何使用“詹姆斯·威利”,“张郭”和“比利·布朗”等别名的方式使用各种策略来吸引潜在的受害者。
该小组隐藏了一个假脆弱性研究团队,“ BrownSec3 Labs”,以及随附的技术博客,其中包含文章和分析公开披露漏洞。
该博客还介绍了合法研究人员的来宾帖子,他们似乎已被欺骗提交内容,以使博客更加可信。
Google的标签研究人员解释说:“为了建立信誉并与安全研究人员建立联系,参与者建立了一个研究博客和多个Twitter配置文件,以与潜在目标互动。”
“他们使用这些Twitter配置文件将其发布到其博客的链接,发布其声称的漏洞利用的视频,并放大他们控制的其他帐户的帖子和转发帖子。”
正是通过这个频道,该小组能够将恶意软件推向由网络安全社区的众多不知名的成员拥有的设备。
帖子详细介绍了“ DOS2RCE:一种利用V8 NULL指针解释错误的新技术”上传到了流行 /NetSec SubredDit,该技术以共享可靠的利用和原始安全内容而闻名。
Google说,受害者将只需要单击“博客的链接”,“此后不久,在研究人员的系统上安装了恶意服务,并且内存后门将开始对演员拥有的命令和控制服务器进行宣传。”
包含恶意软件的恶意博客的屏幕截图
难以社会的网络
妥协的另一条途径使攻击者在社交媒体网站上与包括Twitter,LinkedIn,Telegram,Discord和Keybase在内的安全研究人员接触,要求协作进行利用。
然后,恶意演员将向他们发送一个包含恶意软件的Visual Studio项目文件。
Twitter上的“詹姆斯·威利”(James Willy)与一名研究员亚历杭德罗·卡塞雷斯(Alejandro Caceres)联系,后者与他联系,以帮助他解决一个假零日脆弱性。
caceres写:“在提供根本原因分析的文章后,我意识到他给我的视觉工作室项目是后置的。”
他补充说:“无论如何,是的,我被黑客入侵。不,由于这个确切的原因,没有泄漏客户信息,这是在私人VM [虚拟机]上。”
你可能也会喜欢Microsoft Office 365的关键零日RCE等待第三个安全补丁
安全研究员理查德·约翰逊(Richard Johnson)也受到广泛攻击。他推文:“漏洞是真实而复杂的触发性。幸运的是,我只用VM运行它。”
约翰逊补充说,最终,他使用的VM磁盘被损坏了,因此该文件“自我模拟”。
在其他地方,研究人员@bushidotoken是一个具有“ Z0X55G”的Twitter用户的针对性。他写:“我可以通过Twitter DMS确认我是'Z0X55G'的目标,询问浏览器和Windows内核0天漏洞研究。
“我想这是因为我对Defender RCE发表了评论,并且曾经在我的简历中有#0天。但是是的!保持警惕。”
由恶意黑客控制的两个帐户的屏幕截图
多个目标
毫不奇怪,关于大胆而深远的运动的消息震撼了网络安全行业。恶意博客发布的 /netsec Subreddit有399,000名成员,这不会说明任何可能通过另一个频道偶然发现博客文章的人。
“这是您对安全研究人员的常规提醒,您也是APT的目标,”电子自由基金会网络安全总监Eva Galperin,在Twitter上写。
Google在博客文章,以及有关主机IOC的详细信息。
“如果您担心自己的目标,我们建议您使用单独的物理或虚拟机进行一般网络浏览,与研究社区中的其他人进行互动,接受第三方的文件以及您自己的安全研究,并将其划分为研究活动。beplay体育能用吗”建议Google。
由于恶意软件可能会利用Google Chrome中的零日,因此搜索引擎巨头重申,它为在野外利用的脆弱性提供现金奖励错误赏金程序。
Google说:“我们鼓励任何发现铬脆弱性的人通过Chrome [漏洞奖励计划]提交过程报告该活动。”
