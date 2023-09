By

Gumagamit ang mga aktor ng pagbabanta na nauugnay sa North Korea ng zero-day bug sa hindi natukoy na software upang makalusot sa komunidad ng cybersecurity. Natuklasan ng Threat Analysis Group (TAG) ng Google ang patuloy na pag-atake na ito, kung saan ang kalaban ay gumagawa ng mga pekeng account sa mga platform ng social media tulad ng X at Mastodon upang magtatag ng mga relasyon at makakuha ng tiwala sa mga potensyal na target.

Ang mga umaatake ay nakikisali sa mahabang pakikipag-usap sa mga mananaliksik ng seguridad at kalaunan ay inililipat ang komunikasyon sa mga naka-encrypt na messaging app gaya ng Signal, WhatsApp, o Wire. Sa pamamagitan ng mga taktika ng social engineering, ipinakilala nila ang isang nakakahamak na file na naglalaman ng hindi bababa sa isang zero-day na kahinaan sa sikat na software. Ang kahinaan ay kasalukuyang tinutugunan.

Kasama sa payload ng pag-atake ang mga pagsusuri sa anti-virtual machine (VM) at pagkolekta ng impormasyon mula sa infected na makina, kabilang ang isang screenshot, na pagkatapos ay ipapadala pabalik sa server na kinokontrol ng attacker.

Hindi ito ang unang pagkakataon na gumamit ang mga aktor ng North Korea ng mga pang-akit na may temang pakikipagtulungan upang mahawahan ang mga biktima. Sa nakaraang npm campaign, gumamit ang mga attacker ng mga pekeng persona para i-target ang sektor ng cybersecurity. Nakumbinsi nila ang mga target na i-clone at isagawa ang mga nilalaman mula sa isang repositoryo ng GitHub.

Ang karagdagang pagsisiyasat ng Google TAG ay nagsiwalat din ng isang tool sa Windows na tinatawag na "GetSymbol," na binuo ng mga umaatake at naka-host sa GitHub, na nagsilbing potensyal na pangalawang vector ng impeksiyon.

Ang kamakailang pag-atake na ito ay naaayon sa mga aktibidad ng iba pang mga aktor ng pagbabanta ng North Korea. Natuklasan ng AhnLab Security Emergency Response Center (ASEC) na ang ScarCruft, isang North Korean nation-state actor, ay gumagamit ng LNK file lures sa mga phishing na email para mamahagi ng backdoor na may kakayahang mag-harvest ng sensitibong data.

Napansin din na ang mga aktor ng pagbabanta ng Hilagang Korea ay nagta-target sa gobyerno ng Russia at industriya ng depensa habang nagbibigay ng suporta sa Russia sa kontrahan nito sa Ukraine. Dagdag pa rito, ang Lazarus Group, isa pang aktor ng North Korean, ay idinawit sa pagnanakaw ng $41 milyon sa virtual na pera mula sa isang online casino at platform ng pagtaya.

Ang mga cyber operation na ito na isinagawa ng mga aktor ng pagbabanta ng North Korea ay naglalayong mangolekta ng katalinuhan sa mga pinaghihinalaang mga kalaban, mangalap ng impormasyon sa mga kakayahan ng militar ng ibang mga bansa, at makaipon ng mga pondo ng cryptocurrency para sa estado.

