1月25日,谷歌威胁分析小组研究人员发布了一份报告,分析了利用社交网络攻击安全人员并使用自定义后门恶意软件感染朝鲜安全研究人员的计算机。攻击活动概述在过去的几个月里,谷歌威胁分析小组的研究人员发现了一场针对在不同公司和组织进行漏洞研究和开发的安全研究人员的攻击活动。研究人员分析称,这次攻击背后的攻击者是朝鲜政府支持的黑客。为确保真实性并与安全研究人员建立联系,黑客开设了一个研究博客和Twitter帐户。黑客使用Twitter帐户发布指向其博客的链接、发布涉嫌攻击的视频,并转发来自他们控制的其他帐户的推文。黑客控制的@z0x55g、@james0x40、@br0vvnn和@BrownSec3Labs4个推特账号如下:他们的博客包含之前发布的漏洞分析和撰写,其中还包括一些毫无戒心的合法安全研究人员的研究结果(博客帖子,未经授权转载),可能是为了与其他安全研究人员建立信任。博客中的漏洞分析截图如下:研究人员无法验证这些漏洞利用视频的真实性和现状,但研究人员发现了虚假视频。例如,1月21日,攻击者在推特上分析了一段YouTube视频,声称成功利用了CVE-2021-1647漏洞。在视频中,攻击者成功利用该漏洞生成了一个cmd.exeshell,但研究人员仔细检查后发现该漏洞(视频)是假的。YouTube视频下的许多评论声称该视频是假的,并不能证明该漏洞。攻击者随后使用他们控制的另一个Twitter帐户转发原始推文,声称该视频是真实的。证明攻击者利用成功的推文如下:攻击安全研究人员在这次活动中,攻击者使用了一种新颖的社会工程方法来针对特定的安全研究人员。建立初始通信后,攻击者会询问目标研究者(受害者)是否愿意一起进行漏洞研究,然后向受害者提供VisualStudioProject。该项目是漏洞利用的源代码,也是通过VisualStudioBuildEvents执行的DLL。DLL实际上是一个自定义的恶意软件片段,它与攻击者控制的C2进行通信。一个VSBuildEvent的示例如下所示:除了通过社交攻击成功攻击目标用户外,研究人员还发现了多起访问攻击者博客后被黑客入侵的案例。在这些案例中,受害者访问了推特上发布的writeup链接blog.br0vvnn[.]io,然后恶意服务被安装到受害者的系统上,运行在内存中的后门连接到攻击者控制的C2服务器沟通。其中,受害者系统运行的是最新的Windows10系统版本和Chrome浏览器版本。目前,谷歌研究人员还无法确认黑客入侵的机制。在活动期间,研究人员使用多个平台与潜在受害者进行交流,包括Twitter、LinkedIn、Telegram、Discord、Keybase和电子邮件。到目前为止,研究人员发现攻击中唯一的受害者系统是Windows系统。黑客控制的网站和账户Research博客:https://blog.br0vvnn[.]iohttps://twitter.com/djokovic808https://twitter.com/henya290https://twitter.com/james0x40https://twitter.com/m5t0rhttps://twitter.com/mvp4p3rhttps://twitter.com/tjrim91https://twitter.com/z0x55g领英账号:https://www.linkedin.com/in/billy-brown-a6678b1b8/https://www.linkedin.com/in/guo-zhang-b152721bb/https://www.linkedin.com/in/hyungwoo-lee-6985501b9/https://www.linkedin.com/in/linshuang-li-aa696391bb/https://www.linkedin.com/in/rimmer-trajan-2806b21bb/本文翻译自:https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/如有转载请注明出处。
