Google于日前披露,有一来自朝鲜的黑客集团专门针对安全研究人员发动攻击,而不只是Google,微软也发现了同一个攻击行动,并说该攻击是来自朝鲜黑客集团ZINC。不管是Google或微软皆表示,公布相关的攻击细节是为了提醒安全研究人员:他们已成为国家级黑客锁定的攻击目标。
微软指出,ZINC采用了许多不同的新技术,包括在社交网站上以真实的内容创建名声,发送恶意的Visual Studio项目,还通过博客及浏览器攻击程序于受害者的系统上植入恶意程序。
根据微软的调查,ZINC是在去年中开始于Twitter上展开活动,该集团创建了数个Twitter账号,转推许多高品质的安全内容,以及发布由他们所控制的博客文章连接,这些文章都是有关攻击程序的研究,这些账号还会互相吹捧或转贴,总计吸引了约2,000名的追随者,且不乏知名研究人员。
在Twitter取得知名度之后,黑客即通过Twitter或LinkedIn等社交平台接触这些研究人员,询问有关安全或开采技术等一般的问题,若得到回应,黑客则进一步要求研究人员改用电子邮件或Discord联系,之后发送加密文件或以PGP保护的ZIP文件。
此外,ZINC也会在Twitter上发布一安全博客的文章连接,而这个博客也是由ZINC团队所掌控。
成功渗透安全社群的ZINC一步步地请君入瓮,有些安全研究人员在以Chrome点击上述博客的特定文章之后,就被植入了ZINC恶意程序。微软怀疑黑客可能利用了Chrome浏览器的修补空窗期发动攻击,因为并非所有访问该文章的用户都受害。
还有些安全研究人员收到了恶意的Visual Studio项目,黑客在这些项目中附带了Comebacker恶意程序。Comebacker会企图扩张权限或是部署另外的Klackring恶意服务。
在受害设备上创建了后门以后,受害设备每60秒就会与C&C设备通信,以便黑客自远程执行各种命令,包括搜集设备信息,拍摄屏幕快照,列出硬盘中的文件与目录,或是部署其它模块等。
连至ZINC博客的连接现已被浏览器挡下,而Google与微软也都公布了ZINC所使用的博客网址、Twitter/LinkedIn/GitHub账号、C&C域名、可能已被ZINC危害并用来充当控制暨命令服务器的网址,以及相关攻击所使用的各种恶意程序,以便安全研究人员加强防范。