朝鲜支持的黑客再次利用零日漏洞和相关恶意软件对安全研究人员进行攻击,企图渗透他们用于进行涉及网络安全的敏感调查的计算机。Google研究人员周四表示,目前尚未修复的零日漏洞--意指在硬件或软件供应商提供安全补丁之前,攻击者就已经知道的漏洞--存在于目标研究人员使用的一个流行软件包中。
在他们私下通知的供应商发布补丁之前,他们拒绝透露该软件的身份或提供有关该漏洞的详细信息。黑客在花了数周时间与研究人员建立工作关系后,向他们发送了一个恶意文件,从而利用了该漏洞。
Google威胁分析小组的研究人员克莱门特-莱西涅(ClementLecigne)和玛迪-斯通(MaddieStone)说,这次攻击活动中使用的恶意软件与之前一次攻击活动中使用的代码非常相似,而这次攻击活动已明确与朝鲜政府支持的黑客有关。2021年1月,Google研究小组以及几天后的微软发布的帖子首次引起了公众的注意。
两个月后,Google再次发布报告称,同一威胁行为者在被揭露后非但没有低调,反而卷土重来,这次他利用IE浏览器的一个零日漏洞瞄准了研究人员。微软追踪到这个名为"Zinc"的黑客组织,并于当月修补了该漏洞。
今年3月,安全公司Mandiant的研究人员称,他们也发现了朝鲜支持的黑客(被追踪为UNC2970)以研究人员为目标。Mandiant的研究人员说,他们在2022年6月首次观察到UNC2970的活动。
2021年的做法与Google最近几周观察到的相同。黑客冒充安全研究人员,在博客或社交媒体上发布与安全相关的内容。他们耐心地与真正的研究人员发展关系,随后将他们的讨论带到私人论坛。最终,假冒的研究人员会与研究人员分享木马漏洞或分析工具,试图让他们在自己的个人计算机上运行。
在周四的文章中,Google威胁分析小组的研究人员写道:
与TAG之前报道的活动类似,朝鲜威胁行为者利用X(前Twitter)等社交媒体网站与目标建立关系。在一个案例中,他们进行了长达数月的对话,试图与一名安全研究人员就共同感兴趣的话题进行合作。通过X进行初步接触后,他们转而使用Signal、WhatsApp或Wire等加密信息应用程序。一旦与目标研究人员建立关系,威胁行为者就会发送一个恶意文件,其中至少包含一个流行软件包中的0-day。
成功利用后,shellcode会进行一系列反虚拟机检查,然后将收集到的信息和截图一起发送回攻击者控制的命令和控制域。该漏洞利用程序中使用的shellcode与以前朝鲜漏洞利用程序中使用的shellcode结构类似。
帖子称,除了利用当前的零日漏洞,同一个黑客组织似乎还在共享同样针对研究人员的软件。该工具于2022年9月首次发布到GitHub,并在本帖上线前一小时被删除,它提供了一种调试或分析软件的有用手段。
"从表面上看,这个工具似乎是一个有用的工具,可以快速、轻松地从多个不同来源下载符号信息。符号提供了二进制文件的附加信息,在调试软件问题或进行漏洞研究时很有帮助,但该工具还能从攻击者控制的域中下载并执行任意代码。"研究人员写道。
研究人员敦促运行过该程序的人"确保你的系统处于已知的干净状态,很可能需要重新安装操作系统"。该帖子包括文件哈希值、IP地址和其他数据,人们可以用它们来辨别自己是否已成为攻击目标。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】