Kuzey Koreli tehdit aktörleri bir kez daha sıfır gün istismarı kullanarak güvenlik araştırmacılarının makinelerini tehlikeye atmaya çalışıyor.
Uyarı, hükümet destekli saldırganların yürüttüğü en son kampanyayı ayrıntılarıyla anlatan Google’ın kendi güvenlik araştırmacıları Clement Lecigne ve Maddie Stone’dan geliyor.
Güvenlik araştırmacıları sıfır gün ile hedef alındı
Saldırganlar başlangıçta güvenlik araştırmalarında işbirliği yapma iddiasıyla araştırmacılarla sosyal medya (örneğin, X, eski adıyla Twitter veya Mastodon) aracılığıyla iletişime geçti. Konuşmayı uçtan uca şifrelenmiş IM uygulamalarına (Signal, WhatsApp veya Wire) taşıyıp güven oluşturduktan sonra, sıfır gün açıklarından yararlanma içeren kötü amaçlı bir dosya dağıtıyorlardı.
Aktör kontrollü X profili. (Kaynak: Google)
Lecigne ve Stone, “Başarılı bir şekilde kullanılmasının ardından, kabuk kodu bir dizi anti-sanal makine kontrolü gerçekleştiriyor ve ardından toplanan bilgileri bir ekran görüntüsüyle birlikte saldırganın kontrolündeki komuta ve kontrol alanına geri gönderiyor” dedi.
Saldırganlar başka bir numara daha denediler: araştırmacıları Microsoft, Google, Mozilla ve Citrix sembol sunucularından tersine mühendislik için hata ayıklama sembolleri indiren, ancak aynı zamanda bir saldırgandan rastgele kod indirip çalıştırabilen bir Windows aracına (GetSymbol) yönlendirdiler. kontrollü etki alanı
“Bu aracı indirdiyseniz veya çalıştırdıysanız, [Google] TAG, sisteminizin bilinen bir temiz durumda olduğundan emin olmak için, muhtemelen işletim sisteminin yeniden yüklenmesini gerektirecek önlemlerin alınmasını öneriyor,” diye tavsiyede bulundu araştırmacılar.
Google, sıfır gün saldırısından hangi yazılımın etkilendiğini henüz açıklamadı.
“Güvenlik açığı etkilenen satıcıya bildirildi ve yamalanma sürecinde. Yama uygulandıktan sonra, ifşa politikalarımıza uygun olarak ek teknik ayrıntıları ve söz konusu güvenlik açıklarının analizini yayınlayacağız” diye eklediler.
Yeni bir kampanya
Benzer bir kampanya, Ocak 2021’de, Kuzey Kore hükümeti tarafından desteklendiğine inanılan tehdit aktörlerinin, güvenlik araştırmacılarıyla doğrudan iletişime geçmek için Twitter, LinkedIn, Keybase ve Telegram’da hesaplar oluşturmasıyla ortaya çıktı. (Microsoft bu kampanyayı da detaylandırdı.)
Güven oluştuktan sonra bir bağlantı paylaşarak araştırmacılardan içeriği kontrol etmelerini istediler. Bu, kötü amaçlı bir hizmetin kurulmasına ve tehdit aktörünün C2 sunucusuna bir arka kapı işareti verilmesine yol açacaktır.