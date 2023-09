By

Bedreigingsactoren geassocieerd met Noord-Korea hebben een zero-day bug in geheime software gebruikt om de cyberbeveiligingsgemeenschap te infiltreren. De Threat Analysis Group (TAG) van Google heeft deze voortdurende aanval blootgelegd, waarbij de tegenstander nepaccounts aanmaakt op sociale mediaplatforms zoals X en Mastodon om relaties op te bouwen en vertrouwen te winnen bij potentiële doelwitten.

De aanvallers voeren lange gesprekken met beveiligingsonderzoekers en verplaatsen de communicatie uiteindelijk naar gecodeerde berichten-apps zoals Signal, WhatsApp of Wire. Via social engineering-tactieken introduceren ze een kwaadaardig bestand met minstens één zero-day-kwetsbaarheid in populaire software. De kwetsbaarheid wordt momenteel aangepakt.

De lading van de aanval omvat anti-virtuele machine (VM)-controles en verzamelt informatie van de geïnfecteerde machine, inclusief een screenshot, die vervolgens wordt teruggestuurd naar de door de aanvaller bestuurde server.

Dit is niet de eerste keer dat Noord-Koreaanse acteurs kunstaas met een samenwerkingsthema gebruiken om slachtoffers te infecteren. In een eerdere npm-campagne gebruikten de aanvallers neppersonages om de cyberbeveiligingssector aan te vallen. Ze overtuigden doelwitten om inhoud vanuit een GitHub-repository te klonen en uit te voeren.

Verder onderzoek door Google TAG bracht ook een Windows-tool aan het licht genaamd “GetSymbol”, ontwikkeld door de aanvallers en gehost op GitHub, die diende als een potentiële secundaire infectievector.

Deze recente aanval sluit aan bij de activiteiten van andere Noord-Koreaanse dreigingsactoren. Het AhnLab Security Emergency Response Center (ASEC) ontdekte dat ScarCruft, een Noord-Koreaanse natiestaatacteur, LNK-bestandslokmiddelen in phishing-e-mails gebruikt om een ​​achterdeur te verspreiden die gevoelige gegevens kan verzamelen.

Er is ook opgemerkt dat Noord-Koreaanse dreigingsactoren zich hebben gericht op de Russische regering en de defensie-industrie, terwijl ze Rusland steun verleenden in zijn conflict met Oekraïne. Bovendien was Lazarus Group, een andere Noord-Koreaanse acteur, betrokken bij de diefstal van $ 41 miljoen aan virtuele valuta van een online casino en gokplatform.

Deze cyberoperaties, uitgevoerd door Noord-Koreaanse dreigingsactoren, zijn bedoeld om inlichtingen te verzamelen over waargenomen tegenstanders, informatie te verzamelen over de militaire capaciteiten van andere landen en cryptocurrency-fondsen voor de staat te verzamelen.

Bronnen:

– Google Bedreigingsanalysegroep (TAG)

– AhnLab Beveiligingsnoodresponscentrum (ASEC)

- Microsoft