Субъекты угроз, связанные с Северной Кореей, продолжают атаковать сообщество кибербезопасности, используя ошибку нулевого дня в неуказанном программном обеспечении в течение последних нескольких недель для проникновения на их компьютеры.
Результаты получены от группы анализа угроз Google (TAG), которая обнаружила, что злоумышленник создает поддельные аккаунты на платформах социальных сетей, таких как X (ранее Twitter) и Mastodon, чтобы наладить отношения с потенциальными целями и завоевать доверие.
"В одном случае они вели многомесячный разговор, пытаясь сотрудничать с исследователем безопасности по темам, представляющим взаимный интерес", - сказали исследователи безопасности Клемент Лесинь и Мэдди Стоун. "После первоначального контакта через X они перешли к зашифрованному приложению для обмена сообщениями, такому как Signal, WhatsApp или Wire".
Упражнение в социальной инженерии в конечном итоге проложило путь к вредоносному файлу, содержащему по крайней мере один нулевой день в популярном программном пакете. Уязвимость в настоящее время находится в процессе исправления.
Полезная нагрузка, со своей стороны, выполняет ряд проверок против виртуальной машины (VM) и передает собранную информацию вместе со снимком экрана обратно на сервер, контролируемый злоумышленником.
Поиск в X показывает, что теперь приостановленная учетная запись активна как минимум с октября 2022 года, когда злоумышленник выпустил код эксплойта proof-of-concept (PoC) для серьезных повышения привилегий в ядре Windows, таких как CVE-2021-34514 и CVE-2022-21881.
Это не первый случай, когда северокорейские актеры используют приманки на тему сотрудничества, чтобы заразить жертв. В июле 2023 года GitHub раскрыл подробности кампании npm, в ходе которой злоумышленники, отслеживаемые как TraderTraitor (он же Jade Sleet), использовали поддельных персонажей для атаки на сектор кибербезопасности, среди прочего.
"После установления контакта с целью исполнитель угрозы приглашает цель к сотрудничеству в репозитории GitHub и убеждает цель клонировать и выполнить его содержимое", - заявила тогда компания, принадлежащая Microsoft.
Google TAG сообщил, что также обнаружил автономный инструмент Windows под названием "getSymbol", разработанный злоумышленниками и размещенный на GitHub, в качестве потенциального вторичного вектора заражения. На сегодняшний день он разветвлялся 23 раза.
Фальсифицированное программное обеспечение, опубликованное на сервисе хостинга кода еще в сентябре 2022 года и несколько раз обновлявшееся до того, как было удалено, предлагает средство "загрузки символов отладки с серверов символов Microsoft, Google, Mozilla и Citrix для реверс-инженеров".
Но она также предоставляет возможность загружать и выполнять произвольный код из домена command-and-control (C2).
Раскрытие происходит после того, как Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) выявил, что северокорейский государственный деятель, известный как ScarCruft, использует приманки для файлов LNK в фишинговых электронных письмах для создания бэкдора, способного собирать конфиденциальные данные и выполнять вредоносные инструкции.
Из этого также следует новые выводы Microsoft о том, что "многочисленные северокорейские субъекты угрозы недавно нацелились на российское правительство и оборонную промышленность – вероятно, для сбора разведданных – одновременно оказывая материальную поддержку России в ее войне с Украиной".
В прошлом месяце SentinelOne также осветил атаку на российские оборонные компании, в которой выяснилось, что Lazarus Group (она же Diamond Sleet или Labyrinth Chollima) и ScarCruft (она же Ricochet Chollima или Ruby Sleet) взломали "НПО Машиностроения", московскую фирму по разработке ракет, чтобы облегчить сбор разведданных.
Также было замечено, что двое злоумышленников проникли в компании по производству оружия, базирующиеся в Германии и Израиле, с ноября 2022 по январь 2023 года, не говоря уже о компрометации института аэрокосмических исследований в России, а также оборонных компаний в Бразилии, Чехии, Финляндии, Италии, Норвегии и Польше с начала года.
"Это говорит о том, что правительство Северной Кореи назначает сразу несколько групп исполнителей угроз для выполнения высокоприоритетных требований к сбору данных для улучшения военного потенциала страны", - сказал технический гигант.
Это просто не кибершпионаж. Ранее на этой неделе Федеральное бюро расследований США (ФБР) обвинило Lazarus Group в краже виртуальной валюты на 41 миллион долларов из Stake.com, онлайн-казино и платформы для ставок.
В нем говорится, что украденные средства, связанные с Ethereum, Binance Smart Chain (BSC) и Polygon networks из Stake.com были переведены на 33 разных кошелька примерно 4 сентября 2023 года.
"Субъекты киберугроз Северной Кореи проводят кибероперации с целью (1) сбора разведданных о деятельности предполагаемых противников государства: Южной Кореи, Соединенных Штатов и Японии, (2) сбора разведданных о военном потенциале других стран для улучшения своего собственного и (3) сбора криптовалютных средств для государства", - говорится в сообщении Microsoft.
Результаты получены от группы анализа угроз Google (TAG), которая обнаружила, что злоумышленник создает поддельные аккаунты на платформах социальных сетей, таких как X (ранее Twitter) и Mastodon, чтобы наладить отношения с потенциальными целями и завоевать доверие.
"В одном случае они вели многомесячный разговор, пытаясь сотрудничать с исследователем безопасности по темам, представляющим взаимный интерес", - сказали исследователи безопасности Клемент Лесинь и Мэдди Стоун. "После первоначального контакта через X они перешли к зашифрованному приложению для обмена сообщениями, такому как Signal, WhatsApp или Wire".
Упражнение в социальной инженерии в конечном итоге проложило путь к вредоносному файлу, содержащему по крайней мере один нулевой день в популярном программном пакете. Уязвимость в настоящее время находится в процессе исправления.
Полезная нагрузка, со своей стороны, выполняет ряд проверок против виртуальной машины (VM) и передает собранную информацию вместе со снимком экрана обратно на сервер, контролируемый злоумышленником.
Поиск в X показывает, что теперь приостановленная учетная запись активна как минимум с октября 2022 года, когда злоумышленник выпустил код эксплойта proof-of-concept (PoC) для серьезных повышения привилегий в ядре Windows, таких как CVE-2021-34514 и CVE-2022-21881.
Это не первый случай, когда северокорейские актеры используют приманки на тему сотрудничества, чтобы заразить жертв. В июле 2023 года GitHub раскрыл подробности кампании npm, в ходе которой злоумышленники, отслеживаемые как TraderTraitor (он же Jade Sleet), использовали поддельных персонажей для атаки на сектор кибербезопасности, среди прочего.
"После установления контакта с целью исполнитель угрозы приглашает цель к сотрудничеству в репозитории GitHub и убеждает цель клонировать и выполнить его содержимое", - заявила тогда компания, принадлежащая Microsoft.
Google TAG сообщил, что также обнаружил автономный инструмент Windows под названием "getSymbol", разработанный злоумышленниками и размещенный на GitHub, в качестве потенциального вторичного вектора заражения. На сегодняшний день он разветвлялся 23 раза.
Фальсифицированное программное обеспечение, опубликованное на сервисе хостинга кода еще в сентябре 2022 года и несколько раз обновлявшееся до того, как было удалено, предлагает средство "загрузки символов отладки с серверов символов Microsoft, Google, Mozilla и Citrix для реверс-инженеров".
Но она также предоставляет возможность загружать и выполнять произвольный код из домена command-and-control (C2).
Раскрытие происходит после того, как Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) выявил, что северокорейский государственный деятель, известный как ScarCruft, использует приманки для файлов LNK в фишинговых электронных письмах для создания бэкдора, способного собирать конфиденциальные данные и выполнять вредоносные инструкции.
Из этого также следует новые выводы Microsoft о том, что "многочисленные северокорейские субъекты угрозы недавно нацелились на российское правительство и оборонную промышленность – вероятно, для сбора разведданных – одновременно оказывая материальную поддержку России в ее войне с Украиной".
В прошлом месяце SentinelOne также осветил атаку на российские оборонные компании, в которой выяснилось, что Lazarus Group (она же Diamond Sleet или Labyrinth Chollima) и ScarCruft (она же Ricochet Chollima или Ruby Sleet) взломали "НПО Машиностроения", московскую фирму по разработке ракет, чтобы облегчить сбор разведданных.
Также было замечено, что двое злоумышленников проникли в компании по производству оружия, базирующиеся в Германии и Израиле, с ноября 2022 по январь 2023 года, не говоря уже о компрометации института аэрокосмических исследований в России, а также оборонных компаний в Бразилии, Чехии, Финляндии, Италии, Норвегии и Польше с начала года.
"Это говорит о том, что правительство Северной Кореи назначает сразу несколько групп исполнителей угроз для выполнения высокоприоритетных требований к сбору данных для улучшения военного потенциала страны", - сказал технический гигант.
Это просто не кибершпионаж. Ранее на этой неделе Федеральное бюро расследований США (ФБР) обвинило Lazarus Group в краже виртуальной валюты на 41 миллион долларов из Stake.com, онлайн-казино и платформы для ставок.
В нем говорится, что украденные средства, связанные с Ethereum, Binance Smart Chain (BSC) и Polygon networks из Stake.com были переведены на 33 разных кошелька примерно 4 сентября 2023 года.
"Субъекты киберугроз Северной Кореи проводят кибероперации с целью (1) сбора разведданных о деятельности предполагаемых противников государства: Южной Кореи, Соединенных Штатов и Японии, (2) сбора разведданных о военном потенциале других стран для улучшения своего собственного и (3) сбора криптовалютных средств для государства", - говорится в сообщении Microsoft.
