تعتقد Microsoft أن المتسللين المرتبطين بكوريا الديمقراطية استخدموا Chrome Zero-Day


قامت مجموعة القرصنة ببناء مجموعة معقدة من حسابات وسائل التواصل الاجتماعي لجذب الباحثين.

ميزة Microsoft ransomware

قرب نهاية يناير 2021 ، كشفت مجموعة تحليل التهديدات التابعة لـ Google أن مجموعة من المتسللين الكوريين الشماليين تستهدف الباحثين الأمنيين عبر الإنترنت ، وتبحث على وجه التحديد عن أولئك الذين يعملون على نقاط الضعف والاستغلال.

الآن ، أكدت Microsoft أنها كانت تتعقب أيضًا فريق القرصنة في كوريا الديمقراطية ، الذي تم الكشف عنه في تقرير نُشر مؤخرًا.

مجموعة القرصنة الكورية الشمالية لتعقب مايكروسوفت

في تقرير نشر على أمان Microsoft في المدونة ، يوضح فريق Microsoft Threat Intelligence Team معلوماته عن مجموعة القرصنة المرتبطة بكوريا الديمقراطية. تتعقب Microsoft مجموعة القرصنة باسم “ZINC” ، بينما يختار باحثون أمنيون آخرون الاسم الأكثر شهرة “Lazarus”.

ذات صلة: عصابات جرائم الإنترنت الأكثر شهرة

يوضح كل من تقريري Google و Microsoft أن الحملة المستمرة تستخدم وسائل التواصل الاجتماعي لبدء محادثات عادية مع الباحثين الأمنيين قبل إرسال ملفات تحتوي على باب خلفي.

يدير فريق القرصنة العديد من حسابات Twitter (جنبًا إلى جنب مع LinkedIn و Telegram و Keybase و Discord ومنصات أخرى) ، والتي كانت تنشر ببطء أخبار أمنية مشروعة ، وبناء سمعة كمصدر موثوق. بعد فترة ، كانت الحسابات التي يسيطر عليها الممثل تتواصل مع الباحثين الأمنيين ، وتطرح عليهم أسئلة محددة حول أبحاثهم.

إذا استجاب الباحث الأمني ​​، فستحاول مجموعة القرصنة نقل المحادثة إلى منصة مختلفة ، مثل Discord أو رسائل البريد الإلكتروني.

بمجرد إنشاء طريقة الاتصال الجديدة ، يرسل ممثل التهديد مشروع Visual Studio المخترق على أمل أن يقوم الباحث الأمني ​​بتشغيل الكود دون تحليل المحتويات.

ذات صلة: ما هو الباب الخلفي وماذا يفعل؟

لقد بذل فريق القرصنة الكوري الشمالي جهودًا كبيرة لإخفاء الملف الضار ضمن مشروع Visual Studio ، حيث استبدل ملف قاعدة بيانات قياسي بملف DLL ضار ، إلى جانب طرق التعتيم الأخرى.

وفقا ل تقرير جوجل في الحملة ، لا يعتبر الباب الخلفي الخبيث هو طريقة الهجوم الوحيدة.

بالإضافة إلى استهداف المستخدمين عبر الهندسة الاجتماعية ، فقد لاحظنا أيضًا العديد من الحالات التي تم فيها اختراق الباحثين بعد زيارة مدونة الممثلين. في كل حالة من هذه الحالات ، اتبع الباحثون رابطًا على Twitter لملف مكتوب تمت استضافته على blog.br0vvnn[.]io ، وبعد ذلك بوقت قصير ، تم تثبيت خدمة ضارة على نظام الباحث وسيبدأ باب خلفي في الذاكرة في إرسال إشارات إلى خادم قيادة وتحكم مملوك للممثل.

تعتقد Microsoft أن “استغلال متصفح Chrome قد تمت استضافته على المدونة” ، على الرغم من عدم التحقق من ذلك من قبل أي من فريق البحث. إضافة إلى ذلك ، تعتقد كل من Microsoft و Google أنه تم استخدام ثغرة يوم الصفر لإكمال ناقل الهجوم هذا.

استهداف الباحثين الأمنيين

التهديد المباشر بهذا الهجوم للباحثين الأمنيين. استهدفت الحملة على وجه التحديد الباحثين الأمنيين المشاركين في اكتشاف التهديدات وأبحاث الثغرات الأمنية.

كما نرى في كثير من الأحيان مع الهجمات شديدة الاستهداف من هذا النوع ، فإن التهديد لعامة الناس يظل منخفضًا. ومع ذلك ، فإن تحديث المتصفح وبرامج مكافحة الفيروسات لديك دائمًا فكرة جيدة ، كما هو الحال مع عدم النقر فوق الروابط العشوائية على وسائل التواصل الاجتماعي ومتابعتها.

استبدال تطبيقات الأمن
5 تطبيقات أمان وخصوصية شائعة يجب عليك إلغاء تثبيتها واستبدالها

ليست كل تطبيقات الأمان والخصوصية متساوية. فيما يلي خمسة تطبيقات للأمان والخصوصية يجب عليك إلغاء تثبيتها وما يجب استبدالها به.


عن المؤلف

تم النشر في
مصنف كـ Uncategorized

اترك تعليقًا

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *