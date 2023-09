Põhja-Koreaga seotud ohustajad on küberjulgeoleku kogukonda imbumiseks kasutanud avalikustamata tarkvara nullpäevaviga. Google'i ohuanalüüsi rühm (TAG) paljastas selle käimasoleva rünnaku, mille käigus vastane loob võltskontosid sotsiaalmeedia platvormidel, nagu X ja Mastodon, et luua suhteid ja võita usaldust potentsiaalsete sihtmärkidega.

Ründajad peavad turvauurijatega pikki vestlusi ja viivad lõpuks suhtluse krüpteeritud sõnumsiderakendustesse, nagu Signal, WhatsApp või Wire. Sotsiaalse inseneri taktika abil toovad nad populaarsesse tarkvarasse pahatahtliku faili, mis sisaldab vähemalt ühte nullpäeva haavatavust. Praegu tegeletakse haavatavuse kõrvaldamisega.

Rünnaku kasulik koormus hõlmab virtuaalse masina (VM) kontrolli ja kogub nakatunud masinast teavet, sealhulgas ekraanipilti, mis seejärel edastatakse tagasi ründaja juhitavasse serverisse.

See pole esimene kord, kui Põhja-Korea näitlejad kasutavad ohvrite nakatamiseks koostööteemalisi lante. Eelmises npm-kampaanias kasutasid ründajad küberjulgeolekusektori sihikule võltsitud isikuid. Nad veensid sihtmärke kloonima ja käivitama sisu GitHubi hoidlast.

Google TAGi edasine uurimine paljastas ka Windowsi tööriista nimega GetSymbol, mille ründajad töötasid välja ja mida hostisid GitHubis ja mis toimis potentsiaalse sekundaarse nakkuse vektorina.

See hiljutine rünnak on kooskõlas teiste Põhja-Korea ohus osalejate tegevusega. AhnLabi turvahädaabikeskus (ASEC) avastas, et Põhja-Korea rahvusriigis tegutsev ScarCruft kasutab andmepüügimeilides LNK-faile, et levitada tagaust, mis suudab koguda tundlikke andmeid.

Samuti on märgitud, et Põhja-Korea ohus osalejad on võtnud sihikule Venemaa valitsust ja kaitsetööstust, toetades samal ajal Venemaad konfliktis Ukrainaga. Lisaks oli teine ​​Põhja-Korea näitleja Lazarus Group seotud 41 miljoni dollari väärtuses virtuaalse valuuta vargusega veebikasiinost ja kihlveoplatvormist.

Nende Põhja-Korea ohus osalejate poolt läbiviidavate küberoperatsioonide eesmärk on koguda luureandmeid tajutavate vastaste kohta, koguda teavet teiste riikide sõjaliste võimete kohta ja koguda riigile krüptovaluutafonde.

Allikad:

– Google'i ohuanalüüsi rühm (TAG)

– AhnLabi turvahädaabikeskus (ASEC)

- Microsoft