Атаки были приписаны киберпреступной группировке из КНДР под названием ZINC.
Исследователи безопасности из компании Microsoft в течение нескольких месяцев расследовали кибератаки на ИБ-экспертов, которые изучают уязвимости в ПО. Атаки связали с киберпреступной группировке из КНДР под названием ZINC.
Напомним, на этой неделе команда ИБ-специалистов Threat Analysis Group компании Google выявила текущую кампанию, в рамках которой хакерская группировка, поддерживаемая правительством Северной Кореи, использует социальные сети для атак на исследователей безопасности. Злоумышленники предлагают ИБ-специалистам совместно исследовать уязвимости, а затем пытаются заразить их компьютеры вредоносным ПО.
Как сообщили в Microsoft, хакеры нацелены на специалистов по тестированию на проникновение, исследователей безопасности и сотрудников технических и охранных компаний. Другие исследователи отслеживают эту хакерскую группировку под названием Lazarus.
Участники ZINC начали свою деятельность в середине 2020 года, создавая поддельные личности исследователей безопасности в Twitter, публикуя сообщения об исследованиях уязвимостей. В рамках атак участники ZINC связывались с исследователями для совместной работы над уязвимостями и отправляли им проект Visual Studio, содержащий вредоносную DLL-библиотеку Запуск проекта приводит к установке вредоносного ПО, которое позволяет злоумышленникам получать информацию и выполнять команды на компьютере жертвы.
«Преступники могут выполнять удаленные команды для перечисления файлов/каталогов и запущенных процессов, а также для хищения информации о целевом устройстве, включая IP-адрес, имя компьютера и NetBIOS, а также перечисления всех файлов/каталогов на целевом диске, создания снимков экрана и развертывания дополнительных модулей», — отметили эксперты.
Помимо вредоносного проекта Visual Studio, ZINC атакует специалистов по безопасности и другими методами. Некоторые устройства были заражены, когда пользователь просто посещал web-сайт злоумышленников, используя полностью исправленную систему и последнюю версию Google Chrome.
«В блоге преступников, скорее всего, размещалась цепочка эксплоитов браузера Chrome, хотя мы не смогли это доказать. Поскольку некоторые браузеры жертв были полностью пропатчены, предполагается, что преступники эксплуатировали цепочку уязвимостей нулевого дня», — пояснили в Microsoft.
Другие методы атак, используемые ZINC, включали распространение сообщений в блогах в виде MHTML-файлов, связанных с доменами ZINC, которые выполняли вредоносный javascript-код и попытку использовать уязвимость CVE-2017-16238 в драйвере для антивирусного продукта Vir.IT eXplorer.
Одно найти легче, чем другое. Спойлер: это не темная материя