Microsoft glaubt, dass DPRK-verknüpfte Hacker Chrome Zero-Day verwendet haben
Gegen Ende Januar 2021 gab die Threat Analysis Group von Google bekannt, dass eine Gruppe nordkoreanischer Hacker Sicherheitsforscher online anspricht, insbesondere diejenigen, die an Schwachstellen und Exploits arbeiten.
Jetzt hat Microsoft bestätigt, dass es auch das DPRK-Hacking-Team verfolgt, was in einem kürzlich veröffentlichten Bericht enthüllt wurde.
Microsoft Tracking der nordkoreanischen Hacking Group
In einem Bericht, der im Microsoft Security- Blog veröffentlicht wurde, erläutert das Microsoft Threat Intelligence-Team sein Wissen über die mit der DVRK verknüpfte Hacking-Gruppe. Microsoft verfolgt die Hacking-Gruppe als "ZINC", während andere Sicherheitsforscher sich für den bekannteren Namen "Lazarus" entscheiden.
Sowohl in den Berichten von Google als auch von Microsoft wird erläutert, dass die laufende Kampagne soziale Medien verwendet, um normale Gespräche mit Sicherheitsforschern zu beginnen, bevor ihnen Dateien mit einer Hintertür gesendet werden.
Das Hacking-Team betreibt mehrere Twitter-Konten (zusammen mit LinkedIn, Telegram, Keybase, Discord und anderen Plattformen), die langsam legitime Sicherheitsnachrichten veröffentlichen und sich einen Ruf als vertrauenswürdige Quelle erarbeiten. Nach einer gewissen Zeit wandten sich die von den Akteuren kontrollierten Konten an Sicherheitsforscher und stellten ihnen spezifische Fragen zu ihrer Forschung.
Wenn der Sicherheitsforscher antwortete, würde die Hacking-Gruppe versuchen, die Konversation auf eine andere Plattform wie Discord oder E-Mails zu verschieben.
Sobald die neue Kommunikationsmethode eingerichtet ist, sendet der Bedrohungsakteur ein kompromittiertes Visual Studio-Projekt in der Hoffnung, dass der Sicherheitsforscher den Code ausführen würde, ohne den Inhalt zu analysieren.
Das nordkoreanische Hacking-Team hatte große Anstrengungen unternommen, um die schädliche Datei im Visual Studio-Projekt zu verschleiern, und eine Standarddatenbankdatei zusammen mit anderen Verschleierungsmethoden gegen eine schädliche DLL ausgetauscht.
Laut dem Google-Bericht zur Kampagne ist die böswillige Hintertür nicht die einzige Angriffsmethode.
Wir haben nicht nur Benutzer über Social Engineering angesprochen, sondern auch mehrere Fälle beobachtet, in denen Forscher nach dem Besuch des Blogs der Schauspieler kompromittiert wurden. In jedem dieser Fälle folgten die Forscher einem Link auf Twitter zu einem Artikel, der auf blog.br0vvnn [.] Io gehostet wurde, und kurz darauf wurde ein böswilliger Dienst auf dem System des Forschers installiert, und eine Backdoor im Speicher wurde gestartet Beaconing zu einem im Besitz eines Schauspielers befindlichen Befehls- und Kontrollserver.
Microsoft geht davon aus, dass "wahrscheinlich ein Chrome-Browser-Exploit im Blog gehostet wurde", obwohl dies von keinem der Forschungsteams noch überprüft wurde. Darüber hinaus glauben sowohl Microsoft als auch Google, dass ein Zero-Day-Exploit verwendet wurde, um diesen Angriffsvektor zu vervollständigen.
Zielgruppe Sicherheitsforscher
Die unmittelbare Bedrohung durch diesen Angriff besteht für Sicherheitsforscher. Die Kampagne richtet sich speziell an Sicherheitsforscher, die an der Erkennung von Bedrohungen und der Erforschung von Sicherheitslücken beteiligt sind.
Ich werde nicht lügen, die Tatsache, dass ich ins Visier genommen wurde, ist eine süße, süße Bestätigung meiner Fähigkeiten;) https://t.co/1WuIQ7we4R
– Aliz (@ AlizTheHax0r) 26. Januar 2021
Wie wir oft bei gezielten Angriffen dieser Art sehen, bleibt die Bedrohung für die breite Öffentlichkeit gering. Es ist jedoch immer eine gute Idee, Ihren Browser und Ihre Antivirenprogramme auf dem neuesten Stand zu halten, da Sie nicht auf zufällige Links in sozialen Medien klicken und diesen folgen.