2021. aasta jaanuari lõpus näitas Google'i ohuanalüüsi rühm, et rühm Põhja-Korea häkkerid on suunatud turvauurijatele veebis, otsides konkreetselt haavatavustega tegelevaid inimesi ja ekspluateerib.
Nüüd on Microsoft kinnitanud, et jälgis ka KRDV häkkimismeeskonda, mis selgus hiljuti avaldatud aruandest.
Microsoft Tracking Põhja-Korea häkkimisgrupp
Aadressile postitatud aruandes Microsofti turvalisus ajaveebis kirjeldab Microsoft Threat Intelligence Team oma teadmisi KRDV-ga seotud häkkerühmade kohta. Microsoft jälgib häkkimisgruppi kui "ZINC", teised turvauurijad valivad aga "Laatsaruse" tuntuma nime.
Seotud: Kõige kurikuulsamad organiseeritud küberkuritegevuse jõugud
Küberkuritegevus on oht, mis paneb meid kõiki proovile. Ennetamine nõuab haridust, seega on aeg õppida kõige hullematest küberkuritegevuse rühmadest.
Nii Google'i kui ka Microsofti aruannetes selgitatakse, et käimasolev kampaania kasutab sotsiaalmeediat normaalsete vestluste alustamiseks turvauurijatega, enne kui neile tagaukse sisaldavad failid saadetakse.
Häkkimismeeskonnal on mitu Twitteri kontot (koos LinkedIn, Telegram, Keybase, Discord ja muud platvormid), mis on aeglaselt postitanud seaduslikke turvauudiseid, luues usaldusväärse maine allikas. Mõne aja möödudes pöördusid näitleja kontrollitavad kontod turvateadlaste poole, esitades neile konkreetseid küsimusi oma uurimistöö kohta.
Kui turvauurija reageerib, üritab häkkimisrühm vestlust teisele platvormile, näiteks ebakõla või e-kirjadele viia.
Kui uus suhtlusmeetod on loodud, saadab ohuärritaja rikutud Visual Studio projekti, lootes, et turvauurija käivitab koodi sisu analüüsimata.
Seotud: Mis on tagauks ja mida see teeb?
Põhja-Korea häkkimisrühm oli näinud palju vaeva, et varjata pahatahtlikku faili Visualis Studio projekt, vahetades tavalise andmebaasifaili pahatahtliku DLL-i vastu koos muu segadusega meetodid.
Vastavalt Google'i aruanne kampaanias pole pahatahtlik tagauks ainus rünnakumeetod.
Lisaks kasutajate sihtimisele sotsiaalse inseneri kaudu oleme täheldanud ka mitmeid juhtumeid, kus teadlased on pärast näitlejate ajaveebi külastamist ohtu sattunud. Kõigil neil juhtudel on teadlased jälginud Twitteris olevat linki ajakirja blog.br0vvnn [.] Io hostitud kirjutisele ja varsti pärast seda teadlase süsteemi installiti pahatahtlik teenus ja mälus olev tagauks hakkas näitlejale kuuluva juhtimise ja juhtimise signaali näitama server.
Microsoft usub, et "Chrome'is kasutati tõenäoliselt ajaveebis Chrome'i brauseri kasutamist", kuigi kumbki uurimisrühm seda veel ei kinnita. Lisades sellele, usuvad nii Microsoft kui Google, et selle ründevektori lõpuleviimiseks kasutati nullipäevast ärakasutamist.
Turvalisuse uurijate sihtimine
Selle rünnaku otsene oht on julgeoleku-uurijatele. Kampaania on suunatud konkreetselt ohu avastamise ja haavatavuse uurimisega seotud turvateadlastele.
Ei hakka valetama, see, et mind sihiti, on minu skillzi magus magus kinnitus;) https://t.co/1WuIQ7we4R
- Aliz (@ AlizTheHax0r) 26. jaanuar 2021
Nagu me seda tüüpi sihtrünnakute puhul sageli näeme, on oht laiemale üldsusele endiselt väike. Brauseri ja viirusetõrjeprogrammide ajakohasena hoidmine on aga alati hea mõte, nagu ka sotsiaalmeedias juhuslike linkide klõpsamine ja jälgimine.
Kõiki turva- ja privaatsusrakendusi ei muudeta võrdseks. Siin on viis turva- ja privaatsusrakendust, mille peaksite desinstallima ja millega need asendada.
- Turvalisus
- Tehnikauudised
- Microsoft
- Tagauks
Gavin on Windowsi ja Technology Explained nooremtoimetaja, Really Useful Podcasti regulaarne kaasautor ja oli MakeUseOfi krüptokeskse sõsarsaite Blocks Decoded toimetaja. Tal on Devoni mägedelt rüüstatud BA (Hons) kaasaegne kirjutamine digitaalsete kunstipraktikatega ning üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib ohtralt teed, lauamänge ja jalgpalli.
Telli meie uudiskiri
Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!
Veel üks samm !!!
Palun kinnitage oma e-posti aadress meilis, mille me just saatsime.