微软:Zinc黑客可能利用Chrome零日漏洞攻击安全研究人员黑客组织的身影。本周早些时候,谷歌表示,一个朝鲜支持的黑客组织一直在利用该社交网络瞄准安全研究人员。作为攻击的一部分,攻击者首先会诱使研究人员合作进行漏洞研究,然后等待机会在受害计算机上使用自定义后门恶意软件感染系统。图1——可疑账户(来自:微软)微软近日在一份新报告中指出,在过去几个月中,黑客一直试图对技术人员和安全公司发起有针对性的攻击。有人猜测锌是幕后黑手。或拉撒路组织。起初,这一轮活动是由MicrosoftDefenderforEndpoint检测到的,随后逐渐引起了微软威胁情报中心(MSTIC)团队的注意。经过持续追踪,MSTIC认为有相当高的证据表明幕后黑手与朝鲜资助的Zinc黑客组织有关。此外,报告还梳理了攻击者的技术手段、基础设施、恶意软件模式以及与多个账户的关联关系。图2-MicrosoftDefenderforEndpoint在ComeBacker上收集的警报回溯,微软认为Zinc早在2020年年中就在密谋。首先是利用推特转发与安全漏洞研究相关的内容,为自己建立并不断充实所谓的安全研究员角色。然后,攻击者与其他受控制的傀儡帐户进行交互,以扩大这些推文的影响范围。通过一系列的操作,该组织成功地在安全圈内获得了一定的知名度,直至将自己宣传为“杰出的安全研究人员”,吸引了更多的追随者。作为攻击的一部分,Zinc伪装成与目标安全研究人员合作的邀请,但正如谷歌此前报道的那样,受害者收到了一个注入了恶意动态链接库(DLL)文件的VisualStudio项目。图3-被利用来执行低信誉任意代码的基于签名的可执行文件。当研究人员试图编译该项目时,该漏洞被用来执行恶意代码,通过此DLL安装后门恶意软件,检索信息并在受害者的计算机上执行任意命令。此外,微软还透露了Zinc黑客组织使用的其他攻击方式,甚至可以通过访问部署了最新系统补丁和谷歌Chrome浏览器的精心制作的黑客网站感染部分受害者。鉴于谷歌尚不确定这些受害者是如何招募的,我们暂时只能假设攻击者使用了未公开的零日漏洞。
