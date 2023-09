De Threat Analysis Group (TAG) van Google heeft details onthuld over een cybercampagne afkomstig uit Noord-Korea die zich specifiek richt op beveiligingsonderzoekers. De campagne, die sinds januari 2021 wordt gemonitord, omvat meerdere aanvallen en de exploitatie van ten minste één zero-day-kwetsbaarheid. Hoewel Google de details van het beveiligingslek en de getroffen software niet heeft bekendgemaakt, heeft het bedrijf het probleem gemeld aan de leverancier, die momenteel aan een patch werkt.

Bij deze aanvallen brengen de bedreigingsactoren communicatie tot stand met beveiligingsonderzoekers via sociale-mediaplatforms voordat ze overgaan op gecodeerde berichten-apps. Zodra het vertrouwen is gevestigd, verspreiden de aanvallers kwaadaardige bestanden met zero-day-kwetsbaarheden in veelgebruikte softwarepakketten. Wanneer de kwaadaardige code met succes wordt uitgebuit, voert hij anti-virtuele machinecontroles uit en verzendt hij de verzamelde gegevens naar een command-and-control-domein dat wordt beheerd door de aanvallers.

Volgens John Gallagher, vice-president van Viakoo Labs bij Viakoo, is het een uitdaging om alle interacties in de wereld van veiligheidsonderzoek, die vaak afhankelijk is van relaties die via internet tot stand komen, te monitoren en diepgaand te onderzoeken. Hij adviseert organisaties een ‘geen uitzonderingen’-beleid te hanteren bij het omgaan met software of links van buiten hun organisatie.

Naast zero-day-exploitatie hebben de bedreigingsactoren ook een Windows-tool ontwikkeld die foutopsporingssymbolen downloadt van grote symboolservers, waaronder die van Microsoft, Google, Mozilla en Citrix. Deze ogenschijnlijk legitieme tool kan willekeurige code uitvoeren vanuit door de aanvaller gecontroleerde domeinen, waardoor de systemen van slachtoffers mogelijk in gevaar worden gebracht.

Het aanvallen van veiligheidsonderzoekers door nationale actoren als Noord-Korea en Rusland is in de loop der jaren frequenter en geavanceerder geworden. Deze operaties zijn niet alleen bedoeld om informatie te stelen, maar ook om inzicht te krijgen in verdedigingsmechanismen, tactieken te verfijnen en toekomstige detectie te omzeilen.

Om deze bedreigingen te beperken, adviseert TAG personen die de tool mogelijk hebben gedownload of uitgevoerd om voorzorgsmaatregelen te nemen, waaronder het opnieuw installeren van het systeem.

Bron: Google Threat Analysis Group (TAG)