近日,據(jù)谷歌 TAG 研究人員報(bào)告說,與朝鮮有關(guān)聯(lián)的 APT 組織冒充三星招聘人員,這是一場(chǎng)魚叉式網(wǎng)絡(luò)釣魚活動(dòng),目標(biāo)是提供惡意軟件解決方案的韓國(guó)安全公司。
谷歌TAG觀察到一個(gè)由朝鮮政府支持的黑客組織,該組織之前曾將安全研究人員偽裝成三星招聘人員,并向多家提供惡意軟件解決方案的韓國(guó)信息安全公司的員工發(fā)送虛假工作機(jī)會(huì)。” 這些電子郵件包含一份 PDF,據(jù)稱是三星某個(gè)職位的職位描述;但是,PDF 格式錯(cuò)誤,無(wú)法在標(biāo)準(zhǔn) PDF 閱讀器中打開。當(dāng)目標(biāo)回復(fù)他們無(wú)法打開職位描述時(shí),攻擊者會(huì)回復(fù)一個(gè)指向惡意軟件的惡意鏈接,該鏈接聲稱是存儲(chǔ)在 Google Drive 中的“安全 PDF 閱讀器”,但現(xiàn)在已被阻止。”
攻擊者使用惡意PDF自稱是工作記錄TI針對(duì)三星的作用,因?yàn)檫@個(gè)原因,收件人無(wú)法打開它,并提供了一個(gè)鏈接到一個(gè)“安全的PDF閱讀器發(fā)送“ 應(yīng)用程序。該應(yīng)用程序存儲(chǔ)在 Google Drive 中,是合法 PDF 閱讀器PDFTron 的受感染版本 。安裝該應(yīng)用程序后,會(huì)在受害者的設(shè)備上建立一個(gè)后門。
Zinc APT 組織(又名Lazarus)的活動(dòng),在2014年和2015年激增,其成員在攻擊中主要使用定制的惡意軟件。這個(gè)黑客組織至少?gòu)?009年開始活躍,甚至早在2007年,它參與了旨在破壞數(shù)據(jù)和破壞系統(tǒng)的網(wǎng)絡(luò)間諜活動(dòng)和破壞活動(dòng)。
該組織被認(rèn)為是大規(guī)模 WannaCry 勒索軟件攻擊、2016年的一系列SWIFT攻擊以及索尼影業(yè)黑客攻擊的罪魁禍?zhǔn)?。攻擊者通過多個(gè)社交網(wǎng)絡(luò)平臺(tái)攻擊研究人員,包括Twitter、LinkedIn、Telegram、Discord和Keybase。
黑客使用虛假檔案與感興趣的研究人員取得聯(lián)系。2020年中,ZINC黑客為虛假安全研究人員創(chuàng)建了Twitter個(gè)人資料,用于轉(zhuǎn)發(fā)安全內(nèi)容和發(fā)布有關(guān)漏洞研究的信息。使用Twitter個(gè)人資料分享他們控制下的博客鏈接,還有他們聲稱漏洞利用的視頻,以及放大和轉(zhuǎn)發(fā)來自他們控制下的其他帳戶的帖子。
建立初期通信后,他們會(huì)詢問目標(biāo)安全研究人員是否希望共同進(jìn)行漏洞研究,然后與其共享 Visual Studio 項(xiàng)目。在使用的Visual Studio項(xiàng)目包括利用該漏洞的源代碼以及一個(gè)額外的 DLL,該DLL將通過Visual Studio Build Events執(zhí)行這是一個(gè)后門。Visual Studio項(xiàng)目包含一個(gè)惡意DLL,研究人員編譯該項(xiàng)目時(shí)會(huì)執(zhí)行該 DLL。惡意代碼會(huì)導(dǎo)致安裝后門,允許攻擊者接管目標(biāo)的計(jì)算機(jī)。
攻擊者發(fā)表了一篇名為“DOS2RCE:一種利用 V8 NULL 指針解除引用錯(cuò)誤的新技術(shù)”的博客文章 ,并通過 Twitter 分享。2020年10月19日至21日期間使用Chrome瀏覽器訪問該帖子的研究人員感染了已知的ZINC惡意軟件。微軟研究人員注意到,一些受害者使用的是完全打補(bǔ)丁的瀏覽器,這種情況表明攻擊者使用了零日漏洞。并非該網(wǎng)站的所有訪問者都受到感染。
黑客還使用其他技術(shù)來針對(duì)安全專業(yè)人員,例如,在某些情況下,將博客文章作為MHTML 文件分發(fā),其中包含一些混淆的JavaScript,這些JavaScript指向ZINC控制的域,以便進(jìn)一步執(zhí)行JavaScript。
最近對(duì)韓國(guó)反惡意軟件的攻擊表明,黑客們目的就是破壞韓國(guó)安全組織的供應(yīng)鏈并針對(duì)其客戶。
注:本文由E安全編譯報(bào)道。
文章轉(zhuǎn)載自騰訊新聞客戶端自媒體