By

Die Threat Analysis Group (TAG) von Google hat Details zu einer von Nordkorea ausgehenden Cyberkampagne enthüllt, die sich speziell gegen Sicherheitsforscher richtet. Die seit Januar 2021 beobachtete Kampagne beinhaltet mehrere Angriffe und die Ausnutzung mindestens einer Zero-Day-Schwachstelle. Obwohl Google die Einzelheiten der Sicherheitslücke und der betroffenen Software nicht bekannt gegeben hat, hat das Unternehmen das Problem dem Anbieter gemeldet, der derzeit an einem Patch arbeitet.

Bei diesen Angriffen stellen die Bedrohungsakteure über Social-Media-Plattformen eine Kommunikation mit Sicherheitsforschern her, bevor sie zu verschlüsselten Messaging-Apps übergehen. Sobald Vertrauen hergestellt ist, verteilen die Angreifer schädliche Dateien mit Zero-Day-Schwachstellen in weit verbreiteten Softwarepaketen. Bei erfolgreicher Ausnutzung führt der Schadcode Antiviren-Maschinenprüfungen durch und überträgt die gesammelten Daten an eine von den Angreifern kontrollierte Command-and-Control-Domäne.

Laut John Gallagher, Vizepräsident von Viakoo Labs bei Viakoo, ist es eine Herausforderung, alle Interaktionen in der Welt der Sicherheitsforschung zu überwachen und eingehend zu untersuchen, die oft auf Beziehungen beruht, die über das Internet aufgebaut werden. Er empfiehlt Organisationen, beim Umgang mit Software oder Links von außerhalb ihrer Organisation eine „Keine Ausnahmen“-Richtlinie einzuführen.

Abgesehen von der Zero-Day-Ausnutzung haben die Bedrohungsakteure auch ein Windows-Tool entwickelt, das Debugging-Symbole von großen Symbolservern herunterlädt, darunter denen von Microsoft, Google, Mozilla und Citrix. Dieses scheinbar legitime Tool kann beliebigen Code aus vom Angreifer kontrollierten Domänen ausführen und so möglicherweise die Systeme der Opfer gefährden.

Die Angriffe nationalstaatlicher Akteure wie Nordkorea und Russland auf Sicherheitsforscher sind im Laufe der Jahre immer häufiger und raffinierter geworden. Diese Operationen zielen nicht nur darauf ab, Informationen zu stehlen, sondern auch Einblicke in Abwehrmechanismen zu gewinnen, Taktiken zu verfeinern und zukünftige Entdeckungen zu vermeiden.

Um diese Bedrohungen zu mindern, rät TAG Personen, die das Tool möglicherweise heruntergeladen oder ausgeführt haben, Vorsichtsmaßnahmen zu treffen und unter anderem eine Neuinstallation des Systems in Betracht zu ziehen.

Quelle: Google Threat Analysis Group (TAG)