Северокорейская хакерская группировка атакует честных экспертов по кибербезопасности

0
52

Борьба с препятствиями

Microsoft и Google
отслеживают деятельность новой кибергруппировки, которая прицельно атакует
экспертов по информационной безопасности.

В частности, Google сообщил о том, что эта
группировка связана с правительством Северной Кореи, и что главным каналом для
первичного нападения служат социальные сети. Злоумышленники создавали аккаунты
мнимых специалистов по ИТ-безопасности и обращались к потенциальным жертвам с
просьбой посодействовать с исследованиями программных уязвимостей. После этого
жертвам пытались подгрузить специально подготовленный вредонос.

Группировка, которую Microsoft теперь называет Zinc, атаковала таким образом
пентестеров, исследователей проблем с безопасностью, а также работников
технологических и ИБ-компаний.

Северокорейская хакерская группировка атакует честных экспертов по кибербезопасности

Хакеры из Северной Кореи атакуют этичных ИБ-специалистов

Microsoft занялась этой группировкой после того, как антивирус Windows Defender обнаружил одну такую атаку в активной фазе.

Бэкдор и другие пакости

Начало кампании пришлось на
середину 2020 г., когда операторы Zinc приступили к активному созданию аккаунтов мнимых специалистов по
информационной безопасности в Twitter, в которых активно публиковались материалы по
теме киберзащиты. Для большей убедительности другие аккаунты в Twitter, также подконтрольные
операторам Zinc,
активно тиражировали и комментировали эти твиты, чтобы эффективнее имитировать
профиль «известного специалиста по кибербезопасности». Также были созданы
фальшивые профили в LinkedIn и на GitHub.

ЧИТАТЬ ТАКЖЕ:  Власти потратят 7,5 миллиардов на единое цифровое окно связи с гражданами

В дальнейшем операторы
кампании связывались с реальными экспертами по кибербезопасности, пытались
договориться о сотрудничестве и, если жертва поддавалась на уговоры, высылали
проект VisualStudio с
вредоносным DLL,
который запускался при компиляции проекта на стороне жертвы.

DLL
устанавливал бэкдор, который позволял операторам Zinc красть данные и запускать различные команды в системе жертвы. В частности,
злоумышленники автоматически и вручную нумеровали файлы и каталоги на целевом
компьютере, снимали скриншоты и докачивали дополнительные модули.

Виртуализация приходит в SAN
Инфраструктура

Северокорейская хакерская группировка атакует честных экспертов по кибербезопасности

Кроме этого злоумышленники
использовали вредоносный сайт (точнее, блог — br0vvnn.io), на который заманивали своих жертв. Даже при
наличии всех обновлений в системе жертв заражения происходили. По данным Microsoft, речь может идти
либо об использовании цепочки эксплойтов к уязвимостям нулевого дня в Chrome или к эксплойтам,
которые атаковали совсем свежие уязвимости в тот короткий период, когда жертвы
еще не успевали получить и установить нужное обновление. Впрочем, однозначных
доказательств этого предположения у Microsoft нет.

ЧИТАТЬ ТАКЖЕ:  «Мой офис» на ПК стал бесплатным. Но не для всех

Другие виды атак

Другие способы осуществления
атак со стороны Zinc включали блог-посты в формате
файлов MHTML с активными компонентами,
которые подгружали вредоносный Javascript. Происходили попытки эксплуатации уязвимости CVE-2017-16238 в драйверах
антивируса Vir.ITeXplorer (по данным, Microsoft не удались), а
также попытки подгрузить жертвам средства для кражи паролей в Chrome.

Само посещение
вышеупомянутого блога может быть опасным, так что настоятельно рекомендуется
немедленно провести проверки на предмет признаков заражения. Они перечисляются
в исследовании Microsoft на сайте компании.

«Если операторы кампании
идут на упомянутые в начале материала ухищрения, значит, деятельность специалистов
по безопасности им всерьез мешает, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Это хорошая
новость: значит, от деятельности нашей отрасли есть немалая польза».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь