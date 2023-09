By

Ang Threat Analysis Group (TAG) ng Google ay nagpahayag ng mga detalye tungkol sa isang cyber campaign na nagmula sa North Korea na partikular na nagta-target ng mga mananaliksik sa seguridad. Ang kampanya, na sinusubaybayan mula noong Enero 2021, ay nagsasangkot ng maraming pag-atake at pagsasamantala ng hindi bababa sa isang zero-day na kahinaan. Bagama't hindi isiniwalat ng Google ang mga detalye ng kahinaan at ang apektadong software, iniulat ng kumpanya ang isyu sa vendor, na kasalukuyang gumagawa ng isang patch.

Sa mga pag-atakeng ito, ang mga banta ng aktor ay nagtatag ng komunikasyon sa mga mananaliksik ng seguridad sa pamamagitan ng mga platform ng social media bago lumipat sa mga naka-encrypt na messaging app. Kapag naitatag na ang tiwala, ang mga umaatake ay namamahagi ng mga nakakahamak na file na naglalaman ng mga zero-day na kahinaan sa malawakang ginagamit na mga pakete ng software. Kapag matagumpay na pinagsamantalahan, ang malisyosong code ay nagsasagawa ng anti-virtual machine checks at nagpapadala ng nakolektang data sa isang command-and-control domain na kinokontrol ng mga umaatake.

Ayon kay John Gallagher, Bise Presidente ng Viakoo Labs sa Viakoo, mahirap subaybayan at malalimang imbestigahan ang lahat ng pakikipag-ugnayan sa mundo ng pananaliksik sa seguridad, na kadalasang umaasa sa mga relasyong nabuo sa internet. Pinapayuhan niya ang mga organisasyon na magpatibay ng patakarang "walang pagbubukod" kapag humahawak ng software o mga link mula sa labas ng kanilang organisasyon.

Bukod sa zero-day exploitation, ang mga threat actor ay nakabuo din ng isang tool sa Windows na nagda-download ng mga simbolo ng pag-debug mula sa mga pangunahing server ng simbolo, kabilang ang sa Microsoft, Google, Mozilla, at Citrix. Ang tila lehitimong tool na ito ay maaaring magsagawa ng arbitrary na code mula sa mga domain na kinokontrol ng attacker, na posibleng makompromiso ang mga system ng mga biktima.

Ang pag-target ng mga mananaliksik sa seguridad ng mga aktor ng bansang estado tulad ng North Korea at Russia ay naging mas madalas at sopistikado sa paglipas ng mga taon. Nilalayon ng mga operasyong ito na hindi lamang magnakaw ng impormasyon ngunit makakuha din ng mga insight sa mga mekanismo ng pagtatanggol, pinuhin ang mga taktika, at maiwasan ang pagtuklas sa hinaharap.

Upang mabawasan ang mga banta na ito, pinapayuhan ng TAG ang mga indibidwal na maaaring nag-download o nagpatakbo ng tool na mag-ingat, kabilang ang pagsasaalang-alang ng muling pag-install ng system.

Pinagmulan: Google Threat Analysis Group (TAG)