Хакеры, поддерживаемые Северной Кореей, атаковали исследователей безопасности с нулевым днём
Хакеры, поддерживаемые Северной Кореей, атаковали исследователей безопасности с нулевым днём
Увеличить
Дмитрий Ногаев | Гетти Изображения
Хакеры, поддерживаемые Северной Кореей, снова нацелены на исследователей безопасности с помощью эксплойта нулевого дня и связанных с ним вредоносных программ, пытаясь проникнуть в компьютеры, используемые для проведения конфиденциальных расследований, связанных с кибербезопасностью.
В настоящее время не исправлена уязвимость нулевого дня, то есть уязвимость, известная злоумышленникам до того, как поставщик оборудования или программного обеспечения выпустит исправление безопасности, находится в популярном пакете программного обеспечения, используемом исследователями, на которых нацелены, сообщили исследователи Google в четверг. Они отказались идентифицировать программное обеспечение или предоставить подробную информацию об уязвимости до тех пор, пока поставщик, которому они сообщили в частном порядке, не выпустит исправление. Уязвимость была использована с помощью вредоносного файла, который хакеры отправили исследователям после нескольких недель установления рабочих отношений.
Вредоносное ПО, использованное в кампании, очень похоже на код, использованный в предыдущей кампании, которая была определенно связана с хакерами, поддерживаемыми правительством Северной Кореи, говорят Клемент Лесинь и Мэдди Стоун, исследователи из исследовательской группы Google по анализу угроз. Впервые эта кампания привлекла внимание общественности в январе 2021 года в публикациях той же исследовательской группы Google, а несколько дней спустя — Microsoft.
Два месяца спустя Google вернулся и сообщил, что тот же злоумышленник, вместо того чтобы вести себя сдержанно после того, как его разоблачили, вернулся, на этот раз нацеливаясь на поисковых пользователей с помощью Zero Day, использующих уязвимость Internet Explorer. Microsoft, которая отслеживает хакерскую группу под названием Zinc, в том же месяце исправила уязвимость.
В марте исследователи из охранной компании Mandiant заявили, что они также обнаружили поддерживаемых Северной Кореей хакеров, идентифицированных как UNC2970, нацеленных на исследователей. Исследователи Mandiant заявили, что впервые наблюдали кампанию UNC2970 в июне 2022 года.
План действий в 2021 году аналогичен тому, который Google наблюдал в последние недели. Хакеры выдают себя за исследователей безопасности и публикуют контент, связанный с безопасностью, в блогах или социальных сетях. Они терпеливо развивают отношения с настоящими исследователями, а затем переводят обсуждения на частные форумы. В конечном итоге фальшивые исследователи делятся с исследователями эксплойтами или инструментами анализа троянов, пытаясь запустить их на их личных машинах.
В сообщении в четверг исследователи из группы анализа угроз Google написали:
Как и в предыдущей кампании, о которой сообщал TAG, северокорейские злоумышленники использовали социальные сети, такие как X (ранее Twitter), для построения отношений со своими объектами. В одном случае они разговаривали несколько месяцев, пытаясь сотрудничать с исследователем безопасности по темам, представляющим взаимный интерес. После первоначального контакта через X они перешли на приложение для обмена зашифрованными сообщениями, такое как Signal, WhatsApp или Wire. Как только отношения с целевым исследователем были установлены, злоумышленники отправили вредоносный файл, содержащий как минимум нулевой день в популярном пакете программного обеспечения.
Хакеры, поддерживаемые Северной Кореей, снова нацелены на исследователей безопасности с помощью эксплойта нулевого дня и связанных с ним вредоносных программ, пытаясь проникнуть в компьютеры, используемые для проведения конфиденциальных расследований, связанных с кибербезопасностью.
В настоящее время не исправлена уязвимость нулевого дня, то есть уязвимость, известная злоумышленникам до того, как поставщик оборудования или программного обеспечения выпустит исправление безопасности, находится в популярном пакете программного обеспечения, используемом исследователями, на которых нацелены, сообщили исследователи Google в четверг. Они отказались идентифицировать программное обеспечение или предоставить подробную информацию об уязвимости до тех пор, пока поставщик, которому они сообщили в частном порядке, не выпустит исправление. Уязвимость была использована с помощью вредоносного файла, который хакеры отправили исследователям после нескольких недель установления рабочих отношений.
Вредоносное ПО, использованное в кампании, очень похоже на код, использованный в предыдущей кампании, которая была определенно связана с хакерами, поддерживаемыми правительством Северной Кореи, говорят Клемент Лесинь и Мэдди Стоун, исследователи из исследовательской группы Google по анализу угроз. Впервые эта кампания привлекла внимание общественности в январе 2021 года в публикациях той же исследовательской группы Google, а несколько дней спустя — Microsoft.
Два месяца спустя Google вернулся и сообщил, что тот же злоумышленник, вместо того чтобы вести себя сдержанно после того, как его разоблачили, вернулся, на этот раз нацеливаясь на поисковых пользователей с помощью Zero Day, использующих уязвимость Internet Explorer. Microsoft, которая отслеживает хакерскую группу под названием Zinc, в том же месяце исправила уязвимость.
В марте исследователи из охранной компании Mandiant заявили, что они также обнаружили поддерживаемых Северной Кореей хакеров, идентифицированных как UNC2970, нацеленных на исследователей. Исследователи Mandiant заявили, что впервые наблюдали кампанию UNC2970 в июне 2022 года.
План действий в 2021 году аналогичен тому, который Google наблюдал в последние недели. Хакеры выдают себя за исследователей безопасности и публикуют контент, связанный с безопасностью, в блогах или социальных сетях. Они терпеливо развивают отношения с настоящими исследователями, а затем переводят обсуждения на частные форумы. В конечном итоге фальшивые исследователи делятся с исследователями эксплойтами или инструментами анализа троянов, пытаясь запустить их на их личных машинах.
В сообщении в четверг исследователи из группы анализа угроз Google написали:
Как и в предыдущей кампании, о которой сообщал TAG, северокорейские злоумышленники использовали социальные сети, такие как X (ранее Twitter), для построения отношений со своими объектами. В одном случае они разговаривали несколько месяцев, пытаясь сотрудничать с исследователем безопасности по темам, представляющим взаимный интерес. После первоначального контакта через X они перешли на приложение для обмена зашифрованными сообщениями, такое как Signal, WhatsApp или Wire. Как только отношения с целевым исследователем были установлены, злоумышленники отправили вредоносный файл, содержащий как минимум нулевой день в популярном пакете программного обеспечения.