حمله هکرهای کره شمالی به محققان امنیتی

عوامل تهدید کننده مستقر در کره شمالی بار دیگر محققان امنیتی را از طریق حساب های جعلی LinkedIn و Twitter هدف قرار داده اند. طبق گروه تجزیه و تحلیل تهدیدات گوگل (TAG)، مهاجمان وب سایتی برای یک شرکت جعلی ایجاد کرده‌اند که خدمات امنیتی توهین آمیز ارائه می دهد.

Image for post
Image for post

چه چیزی کشف شد؟

Google TAG، به عنوان متخصص در شکار APT ها ، فاش کرد که یک گروه هک تحت حمایت دولت کره شمالی، متخصصان امنیتی را که درگیر تحقیقات آسیب‌پذیری هستند، هدف قرار داده است. مهاجمان از شخصیت‌های جعلی در شبکه‌های اجتماعی مختلف مانند LinkedIn و Twitter برای ارتباط با محققان امنیتی یا برقراری ارتباط با آنها استفاده کردند.
علاوه بر این، یک شرکت با مشخصات جعلی با نام SecuriElite و دامنه سایت  securielite.com راه اندازی شد و ادعا کرد که ارائه دهنده خدمات تست نفوذ در ترکیه است.
این وب سایت میزبان کلید عمومی (PGP (Pretty Good Privacy مهاجمان بود که بازدیدکنندگان را به بازدید از سایت، که هیچ محتوای مخربی ارائه نمی داد ، مجذوب خود کرد و در عوض از اینترنت اکسپلورر اصلا استفاده نمی‌کرد.

حملات مشابه از گذشته

حملات مشابه در ژانویه هنگامی که سایتی میزبان کلید عمومی PGP مهاجمان بود، شناسایی شد. از این کلید به عنوان فریب برای آلوده کردن محققان امنیتی با بدافزارهایی که استفاده از مرورگر را اجرا می کردند، استفاده شد. با این حال، حملات قبل از راه اندازی سایت SecuriElite برای پخش هرگونه بار مخرب شناسایی شده بود.
پس از برقراری ارتباطات اولیه، مهاجمان از محقق مورد نظر خواستند تا در زمینه تحقیق درباره آسیب پذیری با هم کار کنند و سپس یک پروژه Visual Studio در اختیار محقق قرار دادند.
پروژه ویژوال استودیو دارای کدی مخرب است که نفوذ را گسترش می دهد که با یک سرور CnC از راه دور تماس می‌گیرد و منتظر دستورات است.
راز پنهانبه عنوان Manuscrypt  شناخته می‌شود (همچنین به عنوان FALLCHILL شناخته نیز می‌شود) و توسط Lazarus APT استفاده می‌شود.

نتیجه

ظاهراً انگیزه هدف قرار دادن محققان امنیتی سرقت بهره برداری از آسیب پذیری های کشف شده توسط محققان هدف قرار گرفته است. این آسیب پذیری‌ها می‌توانند به طور بالقوه در حملات بعدی مستقر شوند یا مورد استفاده قرار گیرند. بنابراین‌، محققان و متخصصان امنیتی باید هوشیار باشند وقتی فرد ناشناسی با استفاده از رسانه های اجتماعی با آنها تماس می گیرد