• Компьютеры с полностью пропатченной Windows 10, использующие браузер Chrome, заражаются при посещении поддельного веб-сайта исследователей безопасности.
  • Хакерам потребуются недели или месяцы, чтобы завоевать доверие исследователей безопасности, прежде чем заставить их запустить вредоносный код.

 

Эксперты по угрозам в Google говорят, что они выявили продолжающуюся хакерскую кампанию, нацеленную на экспертов по компьютерной безопасности. В частности, на тех, кто исследует уязвимости нулевого дня.

Группа анализа угроз Google (TAG) заявляет, что злоумышленники поддерживаются правительством Северной Кореи и используют сложные постоянные угрозы (APT) в попытке скомпрометировать компьютеры своих важных целей.

Как описывает Google, злоумышленники связываются со своими предполагаемыми жертвами по электронной почте или через такие веб-сайты, как Twitter и LinkedIn, выдавая себя за других исследователей.

Со временем и в разговорах, которые могут длиться неделями или месяцами, злоумышленники пытаются доказать свою надежность и надежность, публикуя видеоролики об обнаруженных ими эксплойтах или размещая ссылки на свои исследования в своих блогах или Github.

«Доказательства» их открытий были дополнительно усилены тем, что другие учетные записи в социальных сетях, находящиеся под контролем хакеров, повторно делились ссылками в попытке повысить их «подлинность».

Затем злоумышленники изобретательно спрашивают исследователя, на которого они нацелены, хотят ли они совместно исследовать уязвимости, и делятся проектом Visual Studio с исходным кодом эксплойта, над которым они работают.

Неосторожный исследователь может не заметить, что проект также содержит вредоносный файл .DLL, который может установить бэкдор на его компьютер.

Кроме того, в некоторых атаках исследователи были скомпрометированы после посещения поддельного блога исследователя. Как объясняет Google, посещение веб-сайта, на котором размещен блог, даже в полностью обновленной версии браузера Chrome, работающей в полностью исправленной версии Windows 10, может привести к заражению компьютеров вредоносным ПО.

Google признает, что на данный момент неясно, как происходит заражение, но просит любого, кто сможет идентифицировать такую ​​ранее неизвестную уязвимость в Chrome, связаться с ними, поскольку они будут иметь право на вознаграждение в рамках его программы вознаграждения за ошибки.

По данным The Register, северокорейские хакеры атаковали одного исследователя – искателя уязвимостей нулевого дня Алехандро Касереса, соучредителя американской исследовательской компании Hyperion Gray.

Касерес сказал, что с ним связался фиктивный исследователь, назвавший себя Джеймсом Вилли, и предложил вознаграждение любому, кто сможет сообщить настоящую личность и адрес хакера.

Группа анализа угроз Google заявляет, что делится подробностями хакерской кампании в надежде, что она послужит предупреждением всем исследователям безопасности, чтобы они были начеку:

«Мы надеемся, что этот пост напомнит тем, кто занимается исследованием безопасности, что они являются мишенью для поддерживаемых правительством злоумышленников и должны сохранять бдительность при взаимодействии с людьми, с которыми они ранее не взаимодействовали».

Профили Twitter и LinkedIn, используемые злоумышленниками, были заблокированы. Хотя, конечно, ничто не может помешать хакерам создавать другие учетные записи в попытке заманить в ловушку больше ничего не подозревающих исследователей безопасности.

Статьи
 
09.02.2021
Хакеры из Северной Кореи пытаются взломать исследователей безопасности
 
03.02.2021
Финансовый сектор сталкивается с серьезными киберугрозами
 
27.01.2021
Новое поколение инструментов в борьбе с шифровальщиками
Comments are closed.