Северокорейские хакеры против исследователей безопасности: битва разумов или атака из тени?

Группа анализа угроз Google (TAG) сообщает , что северокорейские государственные хакеры нацелены на исследователей в области кибербезопасности. Атаки проводятся с использованием по крайней мере одной уязвимости нулевого дня в неназванном популярном программном обеспечении.

Google пока не раскрывает подробности о нулевом дне и названии уязвимого ПО. Вероятно, это связано с тем, что производитель все еще находится в процессе устранения уязвимости.

Атакующие используют социальные сети X (Twitter*) и Mastodon для того, чтобы заманить жертв в зашифрованные мессенджеры, такие как Signal, Wire или WhatsApp . После установления отношений и перехода на защищенные каналы связи, злоумышленники отправляют жертвам вредоносные файлы, разработанные для эксплуатации нулевого дня.

Загруженный на системы исследователей шелл-код проверяет, работает ли он в виртуальной машине, а затем отправляет собранную информацию (включая скриншоты) на серверы управления и контроля ( C2-сервер ) злоумышленников. Также используется open-source инструмент GetSymbol , который, кроме своих основных функций, позволяет загружать и выполнять произвольный код.

Хотя Google не раскрывает явных целей атак, их основная задача заключается в использовании неопубликованных уязвимостей и эксплойтов путем нацеливания на конкретных исследователей. Эксперты рекомендуют всем, кто скачивал или запускал инструмент GetSymbol, предпринять меры предосторожности для обеспечения безопасности своих систем.

* Социальная сеть запрещена на территории Российской Федерации.