Microsoft, DPRK Bağlantılı Bilgisayar Korsanlarının Chrome Zero-Day'i Kullandığına İnanıyor

Ocak 2021'in sonlarına doğru, Google'ın Tehdit Analizi Grubu, bir grup Kuzey Koreli bilgisayar korsanının çevrimiçi güvenlik araştırmacılarını hedefliyor, özellikle güvenlik açıkları üzerinde çalışan ve istismarlar.

Şimdi Microsoft, yakın zamanda yayınlanan bir raporda ortaya çıkan DPRK korsanlık ekibini de izlediğini doğruladı.

Microsoft İzleme Kuzey Kore Hacking Grubu

Yayınlanan bir raporda Microsoft Güvenliği blog, Microsoft Tehdit İstihbarat Ekibi, DPRK bağlantılı bilgisayar korsanlığı grubu hakkındaki bilgilerini detaylandırıyor. Microsoft, bilgisayar korsanlığı grubunu "ZINC" olarak takip ederken, diğer güvenlik araştırmacıları daha iyi bilinen "Lazarus" adını tercih ediyor.

İlişkili: En Ünlü Organize Siber Suç Çeteleri

En Ünlü 5 Organize Siber Suç Çetesi

Siber suç, hepimize meydan okuyan bir tehdittir. Önleme eğitim gerektirir, bu yüzden en kötü siber suç grupları hakkında bilgi edinme zamanı.

Hem Google hem de Microsoft raporları, devam eden kampanyanın, arka kapı içeren dosyalar göndermeden önce güvenlik araştırmacılarıyla normal görüşmelere başlamak için sosyal medyayı kullandığını açıklıyor.

Bilgisayar korsanlığı ekibi birkaç Twitter hesabı (LinkedIn, Telegram, Keybase, Discord ve diğerleri ile birlikte) çalıştırmaktadır. platformlar), yasal güvenlik haberlerini yavaşça gönderen ve güvenilir olarak itibar oluşturan kaynak. Bir süre sonra, aktör tarafından kontrol edilen hesaplar, güvenlik araştırmacılarına ulaşarak onlara araştırmaları hakkında belirli sorular soracaktı.

Güvenlik araştırmacısı yanıt verirse, bilgisayar korsanlığı grubu sohbeti Discord veya e-postalar gibi farklı bir platforma taşımaya çalışacaktı.

Yeni iletişim yöntemi oluşturulduktan sonra, tehdit aktörü, güvenlik araştırmacısının içeriği analiz etmeden kodu çalıştıracağını umarak tehlikeye atılmış bir Visual Studio projesi gönderir.

İlişkili: Arka Kapı Nedir ve Ne İşe Yarar?

Kuzey Koreli bilgisayar korsanlığı ekibi, Görsel içindeki kötü amaçlı dosyayı gizlemek için büyük çaba sarf etti. Standart bir veritabanı dosyasını kötü amaçlı bir DLL için diğer şaşırtma ile birlikte değiştiren Studio projesi yöntemler.

Göre Google raporu kampanyada, kötü niyetli arka kapı tek saldırı yöntemi değildir.

Kullanıcıları sosyal mühendislik yoluyla hedeflemenin yanı sıra, aktörlerin blogunu ziyaret ettikten sonra araştırmacıların tehlikeye atıldığı birkaç durum da gözlemledik. Bu vakaların her birinde, araştırmacılar Twitter'da blog.br0vvnn [.] İo adresinde barındırılan bir yazıya giden bir bağlantıyı takip ettiler ve kısa bir süre sonra Araştırmacının sistemine kötü amaçlı hizmet yüklendi ve bellek içi bir arka kapı, aktörün sahip olduğu bir komuta ve kontrole işaret etmeye başlayacaktı. sunucu.

Microsoft, her iki araştırma ekibi tarafından henüz doğrulanmamış olsa da, "bir Chrome tarayıcı güvenlik açığının büyük olasılıkla blogda barındırıldığına" inanıyor. Buna ek olarak, hem Microsoft hem de Google, bu saldırı vektörünü tamamlamak için sıfırıncı gün istismarının kullanıldığına inanıyor.

Güvenlik Araştırmacılarını Hedefleme

Bu saldırının acil tehdidi güvenlik araştırmacılarıdır. Kampanya, özellikle tehdit algılama ve güvenlik açığı araştırmalarına katılan güvenlik araştırmacılarını hedef aldı.

Bu nitelikteki yüksek hedefli saldırılarda sıklıkla gördüğümüz gibi, genel halka yönelik tehdit düşük kalmaktadır. Ancak, sosyal medyadaki rastgele bağlantıları tıklayıp takip etmemek gibi, tarayıcınızı ve antivirüs programlarınızı güncel tutmak her zaman iyi bir fikirdir.

Kaldırmanız ve Değiştirmeniz Gereken 5 Popüler Güvenlik ve Gizlilik Uygulaması

Tüm güvenlik ve gizlilik uygulamaları eşit hale getirilmemiştir. İşte kaldırmanız gereken ve bunları neyle değiştireceğiniz beş güvenlik ve gizlilik uygulaması.

Yazar hakkında