Преступники используют Twitter, LinkedIn, Telegram, Discord, Keybase и электронную почту, чтобы связываться со своими целями.
Команда ИБ-специалистов Threat Analysis Group компании Google выявила текущую кампанию, нацеленную на исследователей безопасности, которые изучают уязвимости в ПО. По словам экспертов, кампания продолжается уже несколько месяцев, а за атаками стоит «поддерживаемая правительством организация, базирующаяся в Северной Корее». Преступники обычно используют социальную инженерию, чтобы вызвать доверие у жертв.
Злоумышленники создают собственные исследовательские блоги, в которых публикуют анализ известных уязвимостей, выдавая себя за легитимных экспертов. Хакеры также ведут учетные записи в Twitter и публикуют видеозаписи заявленных ими исследований, привлекая как можно больше людей. В одном случае специалисты Google обнаружили, хакеры поделились в Twitter видеороликом с YouTube с якобы успешной эксплуатацией уязвимости в Windows Defender ( CVE-2021-1647 ). Когда под видео стали появляться комментарии, что эксплоит не работает, они создали еще одну учетную запись в Twitter, с которой написали, что видео не фальшивое.
Злоумышленники отправляли сообщения своим предполагаемым жертвам и просили помочь им в исследовании уязвимостей. Помимо Twitter, они также используют LinkedIn, Telegram, Discord, Keybase и электронную почту, чтобы связываться со своими целями и отправлять им проект Microsoft Visual Studio с вредоносным ПО. В некоторых случаях компьютеры жертв были взломаны после посещения блога злоумышленников после перехода по ссылке в Twitter. Оба метода приводили к установке на компьютерах жертв бэкдора, который подключал их к управляемому злоумышленниками C&C-серверу.
Системы жертв были скомпрометированы при наличии полностью исправленных и современных версий Windows 10 и браузера Chrome. Команда Google TAG призывает исследователей отправлять уязвимости в Chrome в рамках программы вознаграждения за обнаружение проблем.
Одно найти легче, чем другое. Спойлер: это не темная материя