Eind januari 2021 onthulde Google's Threat Analysis Group dat een groep Noord-Koreaanse hackers richt zich online op beveiligingsonderzoekers, in het bijzonder op zoek naar degenen die werken aan kwetsbaarheden en exploits.
Nu heeft Microsoft bevestigd dat het ook het DPRK-hackteam volgde, onthuld in een onlangs gepubliceerd rapport.
Microsoft Tracking Noord-Koreaanse hackgroep
In een rapport dat op de Microsoft-beveiliging blog beschrijft het Microsoft Threat Intelligence Team zijn kennis van de aan de DVK gekoppelde hackgroep. Microsoft volgt de hackgroep als "ZINC", terwijl andere beveiligingsonderzoekers kiezen voor de bekendere naam "Lazarus".
Verwant: De meest beruchte georganiseerde cybercrime-bendes
Cybercriminaliteit is een bedreiging die ons allemaal uitdaagt. Preventie vereist onderwijs, dus het is tijd om meer te weten te komen over de ergste cybercriminaliteitsgroepen.
Zowel de Google- als de Microsoft-rapporten leggen uit dat de lopende campagne sociale media gebruikt om normale gesprekken met beveiligingsonderzoekers te beginnen voordat ze bestanden met een achterdeur naar hen sturen.
Het hackteam beheert verschillende Twitter-accounts (samen met LinkedIn, Telegram, Keybase, Discord en andere platforms), die langzaamaan legitiem beveiligingsnieuws posten en een reputatie opbouwen als een vertrouwd bron. Na een periode zouden de door de acteur gecontroleerde accounts contact opnemen met beveiligingsonderzoekers en hen specifieke vragen stellen over hun onderzoek.
Als de beveiligingsonderzoeker reageerde, zou de hackgroep proberen het gesprek naar een ander platform te verplaatsen, zoals Discord of e-mails.
Zodra de nieuwe communicatiemethode tot stand is gebracht, stuurt de bedreigingsacteur een gecompromitteerd Visual Studio-project in de hoop dat de beveiligingsonderzoeker de code zal uitvoeren zonder de inhoud te analyseren.
Verwant: Wat is een achterdeur en wat doet het?
Het Noord-Koreaanse hackteam had zich tot het uiterste ingespannen om het kwaadaardige bestand in de Visual te verhullen Studio-project, waarbij een standaard databasebestand wordt vervangen door een kwaadaardige DLL, samen met andere verduistering methoden.
Volgens de Google-rapport in de campagne is de kwaadaardige achterdeur niet de enige aanvalsmethode.
Naast het targeten van gebruikers via social engineering, hebben we ook verschillende gevallen waargenomen waarin onderzoekers zijn gecompromitteerd na het bezoeken van de blog van de acteurs. In elk van deze gevallen hebben de onderzoekers een link op Twitter gevolgd naar een artikel op blog.br0vvnn [.] Io, en kort daarna een kwaadaardige service werd geïnstalleerd op het systeem van de onderzoeker en een achterdeur in het geheugen begon te bakenen naar een commando en controle die eigendom was van een acteur server.
Microsoft is van mening dat "een Chrome-browser-exploit waarschijnlijk op de blog werd gehost", hoewel dit nog niet is geverifieerd door een van beide onderzoeksteams. Bovendien geloven zowel Microsoft als Google dat een zero-day-exploit is gebruikt om deze aanvalsvector te voltooien.
Gericht op beveiligingsonderzoekers
De onmiddellijke dreiging van deze aanval is voor beveiligingsonderzoekers. De campagne was specifiek gericht op beveiligingsonderzoekers die betrokken zijn bij het opsporen van bedreigingen en het onderzoeken van kwetsbaarheden.
Ik ga niet liegen, het feit dat ik werd aangevallen is een zoete, zoete bevestiging van mijn vaardigheid;) https://t.co/1WuIQ7we4R
- Aliz (@ AlizTheHax0r) 26 januari 2021
Zoals we vaak zien bij zeer gerichte aanvallen van deze aard, blijft de dreiging voor het grote publiek laag. Het is echter altijd een goed idee om uw browser en antivirusprogramma's up-to-date te houden, net als het niet klikken en volgen van willekeurige links op sociale media.
Niet alle beveiligings- en privacy-apps worden gelijk gemaakt. Hier zijn vijf beveiligings- en privacy-apps die u moet verwijderen en waarmee u ze kunt vervangen.
- Veiligheid
- Tech Nieuws
- Microsoft
- Achterdeur
Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en was de Editor voor MakeUseOf's cryptogerichte zustersite Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd in de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Nog een stap…!
Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.
