近日,據(jù)谷歌 TAG 研究人員報告說,與朝鮮有關(guān)聯(lián)的 APT 組織冒充三星招聘人員,這是一場魚叉式網(wǎng)絡(luò)釣魚活動,目標(biāo)是提供惡意軟件解決方案的韓國安全公司。
谷歌TAG觀察到一個由朝鮮政府支持的黑客組織,該組織之前曾將安全研究人員偽裝成三星招聘人員,并向多家提供惡意軟件解決方案的韓國信息安全公司的員工發(fā)送虛假工作機會。” 這些電子郵件包含一份 PDF,據(jù)稱是三星某個職位的職位描述;但是,PDF 格式錯誤,無法在標(biāo)準(zhǔn) PDF 閱讀器中打開。當(dāng)目標(biāo)回復(fù)他們無法打開職位描述時,攻擊者會回復(fù)一個指向惡意軟件的惡意鏈接,該鏈接聲稱是存儲在 Google Drive 中的“安全 PDF 閱讀器”,但現(xiàn)在已被阻止。”
攻擊者使用惡意PDF自稱是工作記錄TI針對三星的作用,因為這個原因,收件人無法打開它,并提供了一個鏈接到一個“安全的PDF閱讀器發(fā)送“ 應(yīng)用程序。該應(yīng)用程序存儲在 Google Drive 中,是合法 PDF 閱讀器PDFTron 的受感染版本 。安裝該應(yīng)用程序后,會在受害者的設(shè)備上建立一個后門。
Zinc APT 組織(又名Lazarus)的活動,在2014年和2015年激增,其成員在攻擊中主要使用定制的惡意軟件。這個黑客組織至少從2009年開始活躍,甚至早在2007年,它參與了旨在破壞數(shù)據(jù)和破壞系統(tǒng)的網(wǎng)絡(luò)間諜活動和破壞活動。
該組織被認(rèn)為是大規(guī)模 WannaCry 勒索軟件攻擊、2016年的一系列SWIFT攻擊以及索尼影業(yè)黑客攻擊的罪魁禍?zhǔn)?。攻擊者通過多個社交網(wǎng)絡(luò)平臺攻擊研究人員,包括Twitter、LinkedIn、Telegram、Discord和Keybase。
黑客使用虛假檔案與感興趣的研究人員取得聯(lián)系。2020年中,ZINC黑客為虛假安全研究人員創(chuàng)建了Twitter個人資料,用于轉(zhuǎn)發(fā)安全內(nèi)容和發(fā)布有關(guān)漏洞研究的信息。使用Twitter個人資料分享他們控制下的博客鏈接,還有他們聲稱漏洞利用的視頻,以及放大和轉(zhuǎn)發(fā)來自他們控制下的其他帳戶的帖子。
建立初期通信后,他們會詢問目標(biāo)安全研究人員是否希望共同進行漏洞研究,然后與其共享 Visual Studio 項目。在使用的Visual Studio項目包括利用該漏洞的源代碼以及一個額外的 DLL,該DLL將通過Visual Studio Build Events執(zhí)行這是一個后門。Visual Studio項目包含一個惡意DLL,研究人員編譯該項目時會執(zhí)行該 DLL。惡意代碼會導(dǎo)致安裝后門,允許攻擊者接管目標(biāo)的計算機。
攻擊者發(fā)表了一篇名為“DOS2RCE:一種利用 V8 NULL 指針解除引用錯誤的新技術(shù)”的博客文章 ,并通過 Twitter 分享。2020年10月19日至21日期間使用Chrome瀏覽器訪問該帖子的研究人員感染了已知的ZINC惡意軟件。微軟研究人員注意到,一些受害者使用的是完全打補丁的瀏覽器,這種情況表明攻擊者使用了零日漏洞。并非該網(wǎng)站的所有訪問者都受到感染。
黑客還使用其他技術(shù)來針對安全專業(yè)人員,例如,在某些情況下,將博客文章作為MHTML 文件分發(fā),其中包含一些混淆的JavaScript,這些JavaScript指向ZINC控制的域,以便進一步執(zhí)行JavaScript。
最近對韓國反惡意軟件的攻擊表明,黑客們目的就是破壞韓國安全組織的供應(yīng)鏈并針對其客戶。
注:本文由E安全編譯報道。
文章轉(zhuǎn)載自騰訊新聞客戶端自媒體