Kuzey Koreli tehdit aktörleri bir kez daha sıfır gün istismarı kullanarak güvenlik araştırmacılarının makinelerini tehlikeye atmaya çalışıyor.
Uyarı, hükümet destekli saldırganların yürüttüğü en son kampanyayı ayrıntılarıyla anlatan Google’ın kendi güvenlik araştırmacıları Clement Lecigne ve Maddie Stone’dan geliyor.
Güvenlik araştırmacıları sıfır gün ile hedef alındı
Saldırganlar başlangıçta güvenlik araştırmalarında işbirliği yapma iddiasıyla araştırmacılarla sosyal medya (örneğin, X, eski adıyla Twitter veya Mastodon) aracılığıyla iletişime geçti.
Konuşmayı uçtan uca şifrelenmiş IM uygulamalarına (Signal, WhatsApp veya Wire) taşıyıp güven oluşturduktan sonra, sıfır gün açıklarından yararlanma içeren kötü amaçlı bir dosya dağıtıyorlardı.
Lecigne ve Stone, “Başarılı bir şekilde kullanılmasının ardından, kabuk kodu bir dizi anti-sanal makine kontrolü gerçekleştiriyor ve ardından toplanan bilgileri bir ekran görüntüsüyle birlikte saldırganın kontrolündeki komuta ve kontrol alanına geri gönderiyor” dedi.
Saldırganlar başka bir numara daha denediler: araştırmacıları Microsoft, Google, Mozilla ve Citrix sembol sunucularından tersine mühendislik için hata ayıklama sembolleri indiren, ancak aynı zamanda bir saldırgandan rastgele kod indirip çalıştırabilen bir Windows aracına (GetSymbol) yönlendirdiler. kontrollü alan.
“Bu aracı indirdiyseniz veya çalıştırdıysanız, [Google] TAG, sisteminizin bilinen bir temiz durumda olduğundan emin olmak için önlemler almanızı ve muhtemelen işletim sisteminin yeniden yüklenmesini gerektirmesini öneriyor.” tavsiyesinde bulundu araştırmacılar.
Google, sıfır gün saldırısından hangi yazılımın etkilendiğini henüz açıklamadı.
“Güvenlik açığı etkilenen satıcıya bildirildi ve yamalanma sürecinde. Yama uygulandıktan sonra, ifşa politikalarımız doğrultusunda ek teknik ayrıntılar ve açıklardan yararlanmaya ilişkin analizler yayınlayacağız.”
Yeni bir kampanya
Ocak 2021’de, Kuzey Kore hükümeti tarafından desteklendiğine inanılan tehdit aktörleri, güvenlik araştırmacılarıyla doğrudan iletişime geçmek için Twitter, LinkedIn, Keybase ve Telegram’da hesaplar oluşturdu. (Microsoft ayrıca detaylı bu kampanya.)
Güven oluştuktan sonra bir bağlantı paylaşarak araştırmacılardan içeriği kontrol etmelerini istediler. Bu, kötü amaçlı bir hizmetin kurulmasına ve tehdit aktörünün C2 sunucusuna bir arka kapı işareti verilmesine yol açacaktır.