Google向研究人员发出警告,由朝鲜政府支持的黑客团队,正通过社交工程手法试图攻击安全研究人员,Google提到,安全研究人员应该保持警觉,并使用独立的计算机,或是使用虚拟机与研究社群的人交互,以避免遭到入侵。
在过去几个月,Google威胁分析小组锁定了一个持续进行中的攻击活动,该攻击活动针对的是在不同公司或是组织,从事漏洞研究和开发的安全研究人员,Google提到,位于朝鲜并且受政府支持的黑客团体,以多种手段锁定研究人员。为了取得研究人员的信赖并创建起连接,攻击者创建了研究博客,以及多个推特账号,与潜在攻击目标交互。
攻击者会在推特账号发布博客连接以及破解视频,再以其他账号转推以放大影响力,博客的文章包括已经公开的漏洞相关文章和分析,还有盗用不知情研究人员的作品当作客座文章,试图在安全研究人员中创建名声。
威胁分析小组无法验证所有博客内的文章,但他们研究了几个案例,其中一个是攻击者2021年1月14日于推特分享的攻击视频,攻击者声称利用最近已修复的Windows Defender漏洞CVE-2021-1647产生cmd.exe壳层,在YouTube上有许多留言指出这是假造的视频,而攻击者则使用另外的推特账号,转推原推文并表示该视频是真的。
利用这种新颖的社交工程手段,攻击者锁定特定的安全研究人员后,便会开始尝试交流,并且询问目标研究人员,是否愿意在漏洞研究上合作,之后研究人员会收到Visual Studio项目,项目会包含破解漏洞的程序代码,以及其他以Visual Studio构建事件触发执行的DLL,该DLL实际上为自定义的恶意软件,会立即与攻击者的命令与控制服务器开始通信。
除了社交工程攻击手段之外,部分研究人员还在访问攻击者的博客后受到入侵,在点击推特的连接,连接到blog.br0vvnn“.”io托管的文章,不久之后,研究人员的系统就被安装恶意服务,内存后门也开始与命令与控制服务器开始通信。Google现在无法确认攻击者的入侵机制,仅知道受害者使用最新的Windows 10和Chrome浏览器版本。
攻击者使用多种平台和安全研究人员通信,包括推特、LinkedIn、Telegram、Discord、Keybase和电子邮件,Google提到,安全人员进行研究工作时,包括浏览网页、与其他研究社群人员交互,还有接受第三方文件时,都应该使用独立的机器以及虚拟机,以防遭到入侵。