No final de janeiro de 2021, o Threat Analysis Group do Google revelou que um grupo de hackers norte-coreanos tem como alvo pesquisadores de segurança online, especificamente procurando aqueles que trabalham com vulnerabilidades e façanhas.
Agora, a Microsoft confirmou que também estava rastreando a equipe de hackers da RPDC, revelado em um relatório publicado recentemente.
Grupo de hackers norte-coreano de rastreamento da Microsoft
Em um relatório publicado no Segurança Microsoft blog, a Equipe de Inteligência de Ameaças da Microsoft detalha seu conhecimento sobre o grupo de hackers vinculado à DPRK. A Microsoft rastreia o grupo de hackers como "ZINC", enquanto outros pesquisadores de segurança estão optando pelo nome mais conhecido de "Lazarus".
Relacionado: As mais notórias gangues do crime cibernético organizado
O crime cibernético é uma ameaça que desafia a todos nós. A prevenção requer educação, então é hora de aprender sobre os piores grupos do cibercrime.
Os relatórios do Google e da Microsoft explicam que a campanha em andamento usa a mídia social para iniciar conversas normais com pesquisadores de segurança antes de enviar arquivos contendo um backdoor.
A equipe de hackers administra várias contas do Twitter (junto com LinkedIn, Telegram, Keybase, Discord e outros plataformas), que têm postado lentamente notícias de segurança legítimas, construindo uma reputação de confiável fonte. Depois de um período, as contas controladas pelo ator chegariam aos pesquisadores de segurança, fazendo-lhes perguntas específicas sobre suas pesquisas.
Se o pesquisador de segurança respondesse, o grupo de hackers tentaria mover a conversa para uma plataforma diferente, como Discord ou e-mails.
Depois que o novo método de comunicação é estabelecido, o agente da ameaça envia um projeto comprometido do Visual Studio, esperando que o pesquisador de segurança execute o código sem analisar o conteúdo.
Relacionado: O que é uma porta dos fundos e o que ela faz?
A equipe de hackers da Coréia do Norte não mediu esforços para disfarçar o arquivo malicioso no Visual Projeto do Studio, trocando um arquivo de banco de dados padrão por uma DLL maliciosa, junto com outro tipo de ofuscação métodos.
De acordo com Relatório do Google na campanha, o backdoor malicioso não é o único método de ataque.
Além de direcionar os usuários por meio de engenharia social, também observamos vários casos em que pesquisadores foram comprometidos após visitar o blog dos atores. Em cada um desses casos, os pesquisadores seguiram um link no Twitter para um artigo hospedado no blog.br0vvnn [.] Io e, logo em seguida, um serviço malicioso foi instalado no sistema do pesquisador e um backdoor na memória começava a se direcionar para um comando e controle de propriedade do ator servidor.
A Microsoft acredita que "uma exploração do navegador Chrome provavelmente estava hospedada no blog", embora isso ainda não tenha sido verificado por nenhuma das equipes de pesquisa. Somando-se a isso, a Microsoft e o Google acreditam que um exploit de dia zero foi usado para completar este vetor de ataque.
Almejando pesquisadores de segurança
A ameaça imediata desse ataque é para os pesquisadores de segurança. A campanha tem como alvo específico os pesquisadores de segurança envolvidos na detecção de ameaças e na pesquisa de vulnerabilidades.
Não vou mentir, o fato de que fui alvo é uma doce e doce validação das minhas habilidades;) https://t.co/1WuIQ7we4R
- Aliz (@ AlizTheHax0r) 26 de janeiro de 2021
Como costumamos ver com ataques altamente direcionados dessa natureza, a ameaça ao público em geral permanece baixa. No entanto, manter o navegador e os programas antivírus atualizados é sempre uma boa ideia, pois não é clicar e seguir links aleatórios nas redes sociais.
Nem todos os aplicativos de segurança e privacidade são iguais. Aqui estão cinco aplicativos de segurança e privacidade que você deve desinstalar e substituí-los.
- Segurança
- Notícias de tecnologia
- Microsoft
- Porta dos fundos
Gavin é o Editor Júnior para Windows e Technology Explained, um contribuidor regular do Really Useful Podcast e foi o Editor do site irmão da MakeUseOf, Blocks Decoded. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas técnicas, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.