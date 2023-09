Googles Threat Analysis Group (TAG) har afsløret detaljer om en cyberkampagne, der stammer fra Nordkorea, og som specifikt er rettet mod sikkerhedsforskere. Kampagnen, som er blevet overvåget siden januar 2021, involverer flere angreb og udnyttelse af mindst én nul-dages sårbarhed. Selvom Google ikke har afsløret detaljerne omkring sårbarheden og den berørte software, har virksomheden rapporteret problemet til leverandøren, som i øjeblikket arbejder på en patch.

I disse angreb etablerer trusselsaktørerne kommunikation med sikkerhedsforskere gennem sociale medieplatforme, før de går videre til krypterede beskedapps. Når tillid er etableret, distribuerer angriberne ondsindede filer, der indeholder nul-dages sårbarheder i udbredte softwarepakker. Når den ondsindede kode udnyttes med succes, udfører den anti-virtuelle maskintjek og transmitterer indsamlede data til et kommando-og-kontrol-domæne, der kontrolleres af angriberne.

Ifølge John Gallagher, vicepræsident for Viakoo Labs hos Viakoo, er det udfordrende at overvåge og dybt undersøge alle interaktioner i sikkerhedsforskningens verden, som ofte er afhængig af relationer dannet over internettet. Han råder organisationer til at vedtage en "ingen undtagelser"-politik, når de håndterer software eller links uden for deres organisation.

Bortset fra nul-dages udnyttelse har trusselsaktørerne også udviklet et Windows-værktøj, der downloader fejlfindingssymboler fra store symbolservere, herunder Microsoft, Google, Mozilla og Citrix. Dette tilsyneladende legitime værktøj kan udføre vilkårlig kode fra angriberkontrollerede domæner, hvilket potentielt kompromitterer ofrenes systemer.

Nationalstatsaktører som Nordkorea og Ruslands målretning mod sikkerhedsforskere er blevet mere hyppige og sofistikerede gennem årene. Disse operationer sigter mod ikke kun at stjæle information, men også at få indsigt i forsvarsmekanismer, forfine taktik og undgå fremtidig opdagelse.

For at afbøde disse trusler råder TAG personer, der kan have downloadet eller kørt værktøjet, til at tage forholdsregler, herunder overveje at geninstallere systemet.

Kilde: Google Threat Analysis Group (TAG)