جوجل تكشف عن حملة مدعومة من كوريا الشمالية تستهدف الباحثين الأمنيين

حددت مجموعة تحليل التهديدات في Google حملة مستمرة تستهدف الباحثين الأمنيين الذين يعملون على نقاط الضعف خلال الأشهر القليلة الماضية.

 

يقول الفريق إن كيانًا مدعومًا من الحكومة مقره في كوريا الشمالية يقف وراء الهجمات، والتي تستخدم عادةً الهندسة الاجتماعية لإشراك الضحايا.

 

في منشور يشرح بالتفصيل الحملة، أوضح آدم ويدمان من TAG أن الجهات الفاعلة السيئة ستبذل قصارى جهدها لكسب ثقة الضحايا، في الغالب من خلال التظاهر بأنهم باحثون.

 

WARNING! I can confirm this is true and I got hit by @z0x55g who sent me a Windows kernel PoC trigger. The vulnerability was real and complex to trigger. Fortunately I only ran it in VM.. in the end the VMDK I was using was actually corrupted and non-bootable, so it self-imploded https://t.co/dvdCWsZyne

— Richard Johnson (@richinseattle) January 26, 2021

 

كانوا يبنون مدوناتهم البحثية الخاصة ويملأونها بتحليل نقاط الضعف التي تم الكشف عنها علنًا لجعلها تبدو شرعية، احتفظ الفاعلون السيئون أيضًا بحسابات Twitter لنشر مقاطع فيديو عن مآثرهم المزعومة وللوصول إلى أكبر عدد ممكن من الأشخاص.

 

في حالة واحدة على الأقل، وجدت Google أحد حسابات Twitter يدافع عن مقطع فيديو نشره الفاعلون السيئون على YouTube يحتوي على استغلال تبين أنه مزيف.

 

قال فريق TAG من جوجل إن المهاجمين اتصلوا بضحاياهم المقصودين، وطلبوا التعاون في أبحاث الثغرات الأمنية، بصرف النظر عن Twitter، استخدموا أيضًا LinkedIn و Telegram و Discord و Keybase والبريد الإلكتروني للوصول إلى

أهدافهم، وإرسال مشروع Microsoft Visual Studio مع البرامج الضارة للدخول إلى أنظمتهم، في بعض الحالات، تم اختراق أجهزة الكمبيوتر الخاصة بالضحايا بعد زيارة مدونة أحد الممثلين السيئين بعد اتباع رابط على Twitter.

 

أدت كلتا الطريقتين إلى تثبيت باب خلفي على أجهزة الكمبيوتر الخاصة بالضحايا يربطهم بخادم قيادة وتحكم يتحكم فيه المهاجم.

 

New blog post from TAG with details of a North Korean campaign targeting security researchers working on vulnerability research and development.https://t.co/Ec2TaMMXeQ

Stay safe out there everyone!

— Shane Huntley (@ShaneHuntley) January 26, 2021

 

تم اختراق أنظمة الضحايا أثناء تشغيل متصفحات Windows 10 و Chrome المحدثة بالكامل، رأى فريق TAG في Google المهاجمين الذين يستهدفون أنظمة Windows فقط، حتى الآن، لكنه لا يزال غير قادر على تأكيد "آلية الاختراق" ويشجع الباحثين على إرسال ثغرات Chrome إلى برنامج مكافآت الأخطاء الخاص به.

 

قام الفريق أيضًا بإدراج جميع مواقع الويب التي يتحكم فيها الممثل والحسابات التي حددها كجزء من الحملة.