Google раскрыл подробности длительной кампании северокорейских злоумышленников, использующих уязвимости нулевого дня для атак на исследователей безопасности.
Google Threat Analysis Group (TAG) опубликовала отчет, в котором утверждается, что текущая кампания началась в январе 2021 года. Эта кампания привлекла внимание многих из-за своей длительности и изощренных методов.
Нулевой день, который злоумышленники используют в атаках, был обнаружен только недавно. TAG сообщила, что уязвимость была предоставлена неназванному поставщику, и сейчас идет работа над ее исправлением.
Интересно, что злоумышленники начинали свои атаки с общения в социальных сетях с исследователями безопасности. Они старались установить доверительные отношения и предлагали сотрудничество по общим интересам. Однако, в действительности, их целью было внедрение в системы и получение доступа к конфиденциальным данным.
По словам TAG, один из злоумышленников потратил месяцы на подготовку к атаке на конкретную цель. Затем он отправил исследователю вредоносный файл, содержащий нулевой день в популярном программном обеспечении.
Другим инструментом, используемым в этой кампании, было приложение для Windows, которое загружало символы отладки с серверов символов Microsoft, Google, Mozilla и Citrix. Эти символы обычно используются для отладки программного обеспечения, но злоумышленники могли использовать их для выполнения произвольного кода из своего домена.
В свете этой угрозы, TAG рекомендует всем пользователям этого программного обеспечения выполнить чистую установку своей операционной системы.
Сообщение TAG также содержит список доменов, контролируемых злоумышленниками, включая GetSymbol, учетные записи управления и контроля, а также учетные записи X (@Paul091_), Wire (@Paul354) и Mastadon (@paul091_).
Эта долгосрочная кампания северокорейских хакеров привлекает внимание к необходимости более эффективной защиты исследователей безопасности и осторожности при общении в онлайн-среде.
Оригинальная новость на сайте