Microsoft tror att DPRK-länkade hackare använde Chrome Zero-Day

Mot slutet av januari 2021 avslöjade Googles hotanalysgrupp att en grupp nordkoreanska hackare riktar sig till säkerhetsforskare online, specifikt söker de som arbetar med sårbarheter och utnyttjar.

Nu har Microsoft bekräftat att det också spårade DPRK-hackingsteamet, avslöjat i en nyligen publicerad rapport.

Microsoft Tracking North Korean Hacking Group

I en rapport publicerad på Microsofts säkerhet blogg, Microsoft Threat Intelligence Team beskriver sin kunskap om den DPRK-länkade hackgruppen. Microsoft spårar hackningsgruppen som "ZINC", medan andra säkerhetsforskare väljer det mer kända namnet "Lazarus".

Relaterad: De mest ökända organiserade cyberbrottsgängen

De 5 mest ökända organiserade cyberbrottsgängen

Internetbrott är ett hot som utmanar oss alla. Förebyggande kräver utbildning, så det är dags att lära sig om de värsta grupperna för it-brottslighet.

Både Googles och Microsofts rapporter förklarar att den pågående kampanjen använder sociala medier för att inleda normala samtal med säkerhetsforskare innan de skickar filer som innehåller en bakdörr.

Hackteamet driver flera Twitter-konton (tillsammans med LinkedIn, Telegram, Keybase, Discord och andra plattformar), som långsamt har lagt ut legitima säkerhetsnyheter och byggt upp ett rykte som en betrodd källa. Efter en period skulle de skådespelarkontrollerade kontona nå ut till säkerhetsforskare och ställa dem specifika frågor om deras forskning.

Om säkerhetsforskaren svarade skulle hackinggruppen försöka flytta konversationen till en annan plattform, till exempel Discord eller e-post.

När den nya kommunikationsmetoden har upprättats skulle hotaktören skicka ett komprometterat Visual Studio-projekt i hopp om att säkerhetsforskaren skulle köra koden utan att analysera innehållet.

Relaterad: Vad är en bakdörr och vad gör det?

Det nordkoreanska hackingsteamet hade gjort stora ansträngningar för att dölja den skadliga filen i Visual Studioprojekt, byta ut en standarddatabasfil mot en skadlig DLL, tillsammans med annan förvirring metoder.

Enligt Google-rapport på kampanjen är den skadliga bakdörren inte den enda attackmetoden.

Förutom att rikta in sig på användare via socialteknik har vi också observerat flera fall där forskare har komprometterats efter att ha besökt skådespelarnas blogg. I vart och ett av dessa fall har forskarna följt en länk på Twitter till en skrivning på blog.br0vvnn [.] Io, och strax därefter en skadlig tjänst installerades på forskarens system och en bakdörr i minnet skulle börja leda till en skådespelers ägd kommando och kontroll server.

Microsoft tror att "en Chrome-webbläsare utnyttjades troligen på bloggen", även om detta ännu inte har verifierats av något av forskargruppen. Lägga till detta, tror både Microsoft och Google att en noll-dagars utnyttjande användes för att slutföra denna attackvektor.

Inriktning på säkerhetsforskare

Det omedelbara hotet med denna attack är för säkerhetsforskare. Kampanjen har specifikt riktat sig till säkerhetsforskare som är involverade i forskning om hotdetektering och sårbarhet.

Som vi ofta ser med högt riktade attacker av denna typ är hotet mot allmänheten fortfarande lågt. Att hålla din webbläsare och antivirusprogram uppdaterade är dock alltid en bra idé, liksom att inte klicka och följa slumpmässiga länkar på sociala medier.

5 populära säkerhets- och sekretessappar du bör avinstallera och ersätta

Inte alla säkerhets- och sekretessappar görs lika. Här är fem säkerhets- och sekretessappar som du bör avinstallera och vad du ska ersätta dem med.

Om författaren