Google, Kuzey Koreli tehdit aktörlerinin güvenlik araştırmacılarına saldırmak için sıfır gün güvenlik açıklarını kullandığı uzun bir kampanyanın ayrıntılarını açıkladı.
Google Tehdit Analiz Grubu (TAG) yayını, devam eden kampanyanın ilk olarak Ocak 2021’de ortaya çıktığını söyledi.
TAG, tehdit aktörleri tarafından kullanılan mevcut sıfır günün geçtiğimiz birkaç hafta içinde keşfedildiğini belirterek, bunun isimsiz satıcıya bildirildiğini ve “yama sürecinde” olduğunu da sözlerine ekledi.
TAG, saldırganların uzun vadeli bir bakış açısına sahip olduğunu söyledi: “Hedefleriyle yakınlık kurmak için” sosyal medya sitelerinde güvenlik araştırmacılarıyla görüşmeler başlatacaklarını, ardından “ortak çıkarları ilgilendiren konular üzerinde işbirliği yapma kisvesi altında konuşmaları şifreli mesajlaşma uygulamalarına kaydırmayı talep edeceklerini” söyledi. ”.
TAG, bir vakada saldırganın hedefini geliştirmek için aylar harcadığını söyledi.
Saldırının bir sonraki aşaması, güvenlik araştırmacısına “popüler bir yazılım paketinde en az bir 0 gün içeren” kötü amaçlı bir dosya göndermekti.
İkinci bir araç, Eylül 2022’de GitHub’da yayınlanan GetSymbol adlı proje kullanılarak “Microsoft, Google, Mozilla ve Citrix sembol sunucularından hata ayıklama sembollerini tersine mühendisler için indiren” bir Windows uygulaması olarak sunuldu.
TAG, Sembollerin “yazılım sorunlarının giderilmesinde veya güvenlik açığı araştırmasının yürütülmesi sırasında faydalı” olmasına rağmen, bu paketin “saldırgan tarafından kontrol edilen bir alandan rastgele kod indirme ve yürütme yeteneğine sahip” olduğunu söyledi.
Yazılımı kullanan herkese işletim sistemlerinin temiz kurulumunu yapmaları tavsiye edildi.
TAG gönderisi, GetSymbol, komuta ve kontrol, X hesapları (@Paul091_), bir Wire hesabı (@Paul354) ve bir Mastadon hesabı (@paul091_) dahil olmak üzere saldırgan tarafından kontrol edilen alanların tam listesini içerir.