Shadow

Google mette in guardia gli utenti sul targeting di gruppi di hacker nordcoreani con malware

Come Google ha rivelato stasera, il gruppo di analisi delle minacce di Google, un gruppo di hacker con sede nel governo nordcoreano sta prendendo di mira i ricercatori sulla sicurezza e infettando i loro sistemi con un malware backdoor personalizzato.

Gli analisti di malware hanno osservato ciò mentre si concentravano sulla vulnerabilità e sfruttano lo sviluppo tramite i social network. Secondo loro, gli autori delle minacce creano falsi profili Twitter e utilizzano questi account per contattare i ricercatori di sicurezza mirati sui social media, come Twitter, LinkedIn, Telegram, Discord, Keybase ed e-mail mascherandoli da ricercatori della sicurezza.

Come parte di questo edificio di persone false, gli attori malevoli mostrano alcuni articoli relativi a vulnerabilità esistenti o creano video relativi a PoC che hanno presumibilmente sviluppato con il loro post.

 Google ha affermato: “Diversi commenti su YouTube hanno identificato che il video era contraffatto e che non era stato dimostrato un exploit funzionante. Dopo che questi commenti sono stati fatti, gli attori hanno utilizzato un secondo account Twitter (che controllano) per ritwittare il post originale e affermare che non era “un video falso”.

Gli attori della minaccia miravano a stabilire un contatto con i ricercatori della sicurezza. Quando hanno avuto successo, hanno chiesto loro di collaborare con loro nella ricerca sulla vulnerabilità o nello sviluppo degli exploit. E come parte di questa collaborazione, hanno inviato un progetto Visual Studio che contiene l’exploit PoC e un file DLL dannoso denominato vcxproj.suo.

Quando il ricercatore ha provato questa build, è stato eseguito automaticamente un comando PowerShell per verificare se il sistema è in esecuzione su versioni a 64 bit di Windows 10, Windows Server 2019 e Windows Server 2016. Quando il controllo viene superato, il file dannoso verrà eseguito Comandi di PowerShell tramite rundll32.exe per stabilire una connessione remota ai loro server.

Google afferma che alcuni ricercatori hanno contratto l’infezione subito dopo aver visitato un articolo sul sito blog.brovvnn.io degli autori delle minacce. Al momento, i ricercatori hanno completamente patchato i dispositivi Windows 10 con l’ultimo Google Chrome risolvendo le vulnerabilità zero-day che causano il problema.

 Sebbene l’obiettivo finale dei truffatori non sia dichiarato in modo particolare, è probabile che abbiano mirato a rubare vulnerabilità di sicurezza non rivelate e sfruttare in base agli utenti mirati. Il seguente consiglio è offerto da Google per gli utenti che hanno dubbi su questo gruppo di hacker che li prende di mira:

“Se sei preoccupato di essere preso di mira, ti consigliamo di compartimentalizzare le tue attività di ricerca utilizzando macchine fisiche o virtuali separate per la navigazione web generale, interagendo con altri nella comunità di ricerca, accettando file da terze parti e la tua ricerca sulla sicurezza”.