微软认为与朝鲜民主主义人民共和国有关的黑客使用Chrome零日漏洞

到2021年1月下旬,谷歌的威胁分析小组透露,一组朝鲜黑客正在网上瞄准安全研究人员,专门寻找那些从事漏洞和漏洞利用工作的人员。

现在,微软已经确认,它也在跟踪朝鲜的黑客团队,这一点在最近发表的一份报告中已经披露。

微软跟踪朝鲜黑客组织

Microsoft安全博客上发布的一份报告中,Microsoft威胁情报小组详细介绍了与DPRK相关的黑客组织的知识。微软将黑客组织称为“ ZINC”,而其他安全研究人员则选择了更为知名的名称“ Lazarus”。

相关:最臭名昭著的有组织网络犯罪团伙

Google和Microsoft的报告均解释说,正在进行的活动使用社交媒体开始与安全研究人员进行正常对话,然后再向他们发送包含后门的文件。

黑客团队运行着多个Twitter帐户(以及LinkedIn,Telegram,Keybase,Discord和其他平台),这些帐户一直在缓慢发布合法的安全新闻,从而树立了可信赖来源的声誉。一段时间后,参与者控制的帐户将与安全研究人员联系,向他们询问有关其研究的具体问题。

如果安全研究人员做出了回应,则黑客组织将尝试将对话移至其他平台上,例如Discord或电子邮件。

一旦建立了新的通信方法,威胁执行者将发送一个受损的Visual Studio项目,希望安全研究人员在不分析内容的情况下运行代码。

相关:什么是后门及其作用?

朝鲜黑客团队竭尽全力掩盖Visual Studio项目中的恶意文件,将标准数据库文件换成恶意DLL,以及其他混淆方法。

根据Google关于该活动的报告,恶意的后门并不是唯一的攻击方法。

除了通过社会工程学锁定用户外,我们还观察到了一些案例,研究人员在访问参与者的博客后遭到了攻击。在每种情况下,研究人员都通过Twitter上的链接链接到blog.br0vvnn [。] io上托管的文章,此后不久,研究人员的系统上安装了恶意服务,并且内存后门将开始信标到演员拥有的命令和控制服务器。

微软认为,“ Chrome浏览器漏洞可能是托管在博客上的”,尽管这两个研究团队尚未对此进行验证。除此之外,Microsoft和Google都认为使用零日漏洞来完成此攻击媒介。

针对安全研究人员

这种攻击的直接威胁是安全研究人员。该活动专门针对从事威胁检测和漏洞研究的安全研究人员。

正如我们经常看到的那样,针对性强的攻击,对公众的威胁仍然很小。但是,保持浏览器和防病毒程序为最新始终是一个好主意,因为不要单击并跟随社交媒体上的随机链接。