كشفت Google يوم الاثنين عن تفاصيل حول حملة مستمرة قام بها ممثل تهديد مدعوم من الحكومة من كوريا الشمالية استهدف الباحثين الأمنية الذين يعملون في أبحاث وتطوير الضعف.
قالت مجموعة تحليل التهديدات الخاصة بشركة الإنترنت (TAG) إن الخصم أنشأت مدونة بحثية وملامح متعددة على منصات التواصل الاجتماعي المختلفة مثل Twitter و LinkedIn و Telegram و Discord و Keybase في محاولة للتواصل مع الباحثين وبناء الثقة.
الهدف من ذلك هو سرقة مآثر التي طورها الباحثون من أجل نقاط الضعف التي ربما لم يكشف عنها ، وبالتالي السماح لهم بتنظيم مزيد من الهجمات على الأهداف الضعيفة التي يختارونها.
“تحتوي مدونتهم على عمليات الكتابة وتحليل نقاط الضعف التي تم الكشف عنها علنًا ، بما في ذلك منشورات” الضيوف “من باحثين أمنية شرعيين ، على الأرجح في محاولة لبناء مصداقية إضافية مع باحثين أمنين آخرين ،” قال الباحث العلامة آدم ويدمان.
أنشأ المهاجمون ما يصل إلى 10 شخصيات Twitter المزيفة وخمسة ملفات تعريف LinkedIn ، والتي استخدموها للتفاعل مع الباحثين ، ومشاركة مقاطع فيديو للمآثر ، وإعادة تغريد الحسابات الأخرى التي يسيطر عليها المهاجم ، ومشاركة الروابط إلى مدونة البحث المزعومة.
في إحدى الحالات ، استخدم الممثل Twitter لمشاركة مقطع فيديو على YouTube لما ادعى أنه استغلال للاختلاف مدافع Windows الذي تم تصحيحه مؤخرًا (CVE-2021-1647) ، عندما يكون الاستغلال في الواقع مزيفًا.
يُقال إن المتسللين الكوريين الشماليين استخدموا “طريقة جديدة للهندسة الاجتماعية” لضرب الباحثين الأمنيين عن طريق سؤالهم عما إذا كانوا يرغبون في التعاون في أبحاث الضعف معًا ثم تزويد الفرد المستهدف بمشروع استوديو بصري.
تضمن مشروع Visual Studio هذا ، إلى جانب احتواء الكود المصدري لاستغلال الضعف ، برامج ضارة مخصصة تنشئ اتصالًا مع خادم أوامر عن بُعد (C2) لتنفيذ أوامر تعسفية على النظام المستعرض.
باحث Kaspersky Costin Raiu ، في أ سقسقة، لاحظت البرامج الضارة التي يتم تسليمها عبر أوجه التشابه على مستوى الرمز المشترك مع المشروع مع المناوضة (ويعرف أيضًا باسم Failchill أو Volgmer) ، وهو باب خلفي معروف سابقًا من قبل مجموعة Lazarus.
ما هو أكثر من ذلك ، قال TAG أنه لاحظ العديد من الحالات التي أصيب فيها الباحثون بعد زيارة مدونة البحث ، وبعد ذلك تم تثبيت خدمة ضارة على الجهاز ، وسيبدأ الباب الخلفي في الذاكرة منارة خادم C2.
مع تشغيل أنظمة الضحايا الإصدارات المصححة بالكامل وحديثًا من Windows 10 و Browser Chrome Web ، تظل الآلية الدقيقة للتسوية غير معروفة. ولكن من المشتبه في أن ممثل التهديد من المحتمل أن يستفيد من نقاط الضعف الصفر في اليوم في Windows 10 و Chrome لنشر البرامج الضارة.
وقال ويدمان: “إذا كنت تشعر بالقلق من أنك مستهدف ، نوصيك بتقسيم أنشطتك البحثية باستخدام الأجهزة المادية أو الافتراضية المنفصلة لتصفح الويب العام ، والتفاعل مع الآخرين في مجتمع الأبحاث ، وقبول الملفات من أطراف ثالثة وأبحاث الأمن الخاصة بك”.
تحديث (28 يناير ، 2021): Microsoft تصدر مزيد من المعلومات حول هذه الحملة
في تحليل منفصل ، أكدت Microsoft النتائج ، وترسبت الهجمات إلى ممثل التهديد الذي تسميه الزنك ، والمعروف أيضًا باسم مجموعة Lazarus أو Hidden Cobra.
وقال صانع Windows إن الحملة أخذت جذورها في منتصف عام 2010 عندما بدأ الخصم “في بناء سمعة في مجتمع أبحاث الأمن على Twitter من خلال إعادة تغريد محتوى أمان عالي الجودة ونشر أبحاث استغلال من مدونة يتم التحكم فيها عن الممثل.”
كشف تحليل Microsoft لـ DLL الضار (الذي يطلق عليه “عودة”) عن محاولات المجموعة للتهرب من الكشف عبر مؤشرات ثابتة للتسوية (IOCs) عن طريق تغيير أسماء الملفات بشكل متكرر ، ومسارات الملفات ، والوظائف المصدرة. “لقد تم تنبيهنا لأول مرة إلى الهجوم عندما اكتشف Microsoft Defender لنقطة النهاية DLL العائدين في محاولة لأداء تصعيد امتياز العملية” ، الشركة قال.
هذا ليس كل شيء. مع وجود بعض الباحثين المصابين ببساطة بزيارة موقع الويب على أنظمة مصححة بالكامل تقوم بتشغيل Windows 10 و Chrome Browser ، تشتبه الشركة في أن سلسلة استغلال Chrome التي تستضيف يوم صفر أو فجوة تصحيح تم استضافتها على المدونة ، مما أدى إلى التسوية.
“منشور مدونة بعنوان DOS2RCE: تقنية جديدة لاستغلال V8 NULL POINTER BUGوقال الباحثون: “تم تقاسمها من قبل الممثل في 14 أكتوبر 2020 من تويتر ، في الفترة من 19 إلى 21 أكتوبر 2020 ، قام بعض الباحثين ، الذين لم يتم الاتصال بهم أو أرسلوا أي ملفات بواسطة ملفات تعريف الزنك ، النقر على الروابط أثناء استخدام متصفح Chrome ، مما أدى إلى حدوث أدوات ضارة معروفة على أجهزتهم بعد فترة وجيزة.”
