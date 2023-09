By

Aktéři hrozeb spojení se Severní Koreou používají chybu zero-day v nezveřejněném softwaru k infiltraci do komunity kybernetické bezpečnosti. Skupina pro analýzu hrozeb (TAG) společnosti Google odhalila tento pokračující útok, ve kterém si protivník vytváří falešné účty na platformách sociálních médií jako X a Mastodon, aby navázal vztahy a získal důvěru s potenciálními cíli.

Útočníci se zapojují do dlouhých rozhovorů s bezpečnostními výzkumníky a nakonec komunikaci přesunou do aplikací pro šifrované zasílání zpráv, jako je Signal, WhatsApp nebo Wire. Prostřednictvím taktiky sociálního inženýrství vnesou do oblíbeného softwaru škodlivý soubor obsahující alespoň jednu zranitelnost zero-day. V současné době se řeší zranitelnost.

Užitečná zátěž útoku zahrnuje kontroly antivirového počítače (VM) a shromažďuje informace z infikovaného počítače, včetně snímku obrazovky, který je poté přenesen zpět na server ovládaný útočníkem.

Není to poprvé, co severokorejští herci použili návnady na téma spolupráce k infikování obětí. V předchozí kampani npm útočníci použili falešné persony, aby se zaměřili na sektor kybernetické bezpečnosti. Přesvědčili cíle, aby klonovali a spouštěli obsah z úložiště GitHub.

Další vyšetřování Google TAG také odhalilo nástroj Windows s názvem „GetSymbol“, vyvinutý útočníky a hostovaný na GitHubu, který sloužil jako potenciální sekundární infekční vektor.

Tento nedávný útok je v souladu s aktivitami dalších severokorejských aktérů ohrožení. Středisko AhnLab Security Emergency Response Center (ASEC) zjistilo, že ScarCruft, severokorejský národní státní zástupce, používá návnady souborů LNK v phishingových e-mailech k distribuci zadních vrátek schopných sklízet citlivá data.

Bylo také zaznamenáno, že aktéři severokorejských hrozeb se zaměřují na ruskou vládu a obranný průmysl a zároveň poskytují podporu Rusku v jeho konfliktu s Ukrajinou. Kromě toho byl Lazarus Group, další severokorejský herec, zapleten do krádeže 41 milionů dolarů ve virtuální měně z online kasina a sázkové platformy.

Cílem těchto kybernetických operací, které provádějí severokorejští aktéři hrozeb, je shromažďovat zpravodajské informace o vnímaných protivníkech, shromažďovat informace o vojenských schopnostech jiných zemí a shromažďovat prostředky z kryptoměn pro stát.

