اهداف کره شمالی – و کلاهبرداری – بسیاری از متخصصان امنیت سایبری هستند


یکی در اوایل ژانویه صبح ، زاک آبراهام ، محقق امنیتی ، یک پیام مستقیم ناخوشایند دریافت کرد ناگهان در توییتر: “سلام.” این کسی از شخصی به نام ژانگ گوا بود. هرزنامه کوتاه غیر معمول نبود. Avraham به عنوان بنیانگذار هر دو شرکت نظارت بر تهدیدات ZecOps و شرکت ضد ویروس Zimperium ، تعداد زیادی DM تصادفی دریافت کرد.

ژانگ گفت که او در بیوگرافی توییتر خود یک توسعه دهنده وب و شکارچی اشکال بود. نمایه وی نشان می دهد که او حساب خود را در ژوئن گذشته ایجاد کرده است و 690 دنبال کننده دارد ، شاید نشانه قابل اعتماد بودن حساب باشد. بعداً عصر همان روز ابراهیم با سلام و احوالپرسی ساده ای پاسخ داد و ژانگ بلافاصله پاسخ داد: “از جواب شما متشکرم. آیا س questionsالی دارم؟ “او همچنان به آسیب پذیری های ویندوز و کروم علاقه مند شد و از ابراهیم س askedال کرد که آیا او خود یک محقق آسیب پذیری نبوده است. اینجا بود که آبراهام مکالمه را ترک کرد تا دنبال کند.” اینجا را ذخیره کنید ، “به WIRED گفت.

آبراهام تنها کسی نبود که چنین مکالمه ای با حساب توئیتر ژانگ گوئو و نام مستعار مرتبط داشت که همه آنها به حالت تعلیق درآمده اند. ده ها محقق امنیتی دیگر – و شاید حتی بیشتر – در ایالات متحده ، اروپا و چین گزارش های مشابهی را در ماه های اخیر دریافت کرده اند. اما همانطور که تیم تجزیه و تحلیل تهدیدات گوگل روز دوشنبه فاش کرد ، این گزارش ها اصلاً از طرف شکارچیان اشکال نبوده است. اینها کار هکرهایی بود که توسط دولت کره شمالی به عنوان بخشی از کارزار گسترده حملات مهندسی اجتماعی که به منظور به خطر انداختن متخصصان عالی رتبه امنیت سایبری و سرقت تحقیقات آنها انجام شده بود ، ارسال شده است.

مهاجمان خود را به توییتر محدود نکردند. آنها با ارسال پیام هایی به محققان معتبر امنیتی درباره همکاری احتمالی ، در تلگرام ، Keybase ، LinkedIn و Discord هویت ایجاد می کنند. آنها یک وبلاگ با ظاهری قانونی و پر از تجزیه و تحلیل آسیب پذیری ایجاد کردند که می توانید از یک شرکت واقعی پیدا کنید. آنها می گویند ، یا Chrome ، بسته به تخصص هدفشان ، نقصی در Microsoft Windows پیدا کرده بودند. آنها برای یافتن قابل استفاده بودن آنها به کمک نیاز داشتند.

همه چیز جلو بود. هر مبادله یک هدف مشترک داشت: وادار کردن قربانی به بارگیری بدافزارهایی که به عنوان یک پروژه تحقیقاتی مبدل شده اند ، یا کلیک بر روی پیوند در پست وبلاگ مربوط به بدافزارها هدف قرار دادن محققان امنیتی ، همانطور که گوگل نامید ، “یک روش جدید مهندسی اجتماعی” بود.

آدام ویدمان ، محقق TAG نوشت: “اگر با هر یک از این حساب ها ارتباط برقرار کرده اید یا از وبلاگ بازیگران بازدید کرده اید ، پیشنهاد می کنیم سیستم های خود را مرور کنید.” “تا به امروز ، ما فقط کسانی را دیده ایم که مشارکت کنندگان سیستم های ویندوز را به عنوان بخشی از این کمپین هدف قرار داده اند.”

مهاجمان عمدتاً سعی داشتند بدافزار خود را با به اشتراک گذاشتن پروژه های Microsoft Visual Studio با قصد توزیع کنند. Visual Studio ابزاری برای توسعه نرم افزار نوشتن است. مهاجمان یک کد منبع سوit استفاده را ارسال می کنند که ادعا می کنند با بدافزار مانند مسیر مسافرتی کار می کند. هنگامی که قربانی پروژه آلوده را بارگیری و باز کرد ، یک کتابخانه مخرب ارتباط با سرور کنترل و کنترل مهاجمان را آغاز می کند.

پیوند مخرب وبلاگ مسیر بالقوه متفاوتی را برای آلودگی فراهم کرده است. با یک کلیک ، اهداف ناآگاهانه سو explo استفاده ای را ایجاد کردند که به مهاجمان امکان دسترسی از راه دور به دستگاه خود را می داد. قربانیان گفتند که آنها از نسخه های فعلی ویندوز 10 و کروم استفاده می کنند ، این نشان می دهد که ممکن است هکرها از دسترسی ناشناخته یا صفر روزه Chrome برای دسترسی استفاده کرده باشند.

آبراهام به ZecOps گفت که در حالی که هکرها او را در چت کوتاه DM خود فریب نمی دهند ، او بر روی پیوند یکی از پست های وبلاگ مهاجمان کلیک کرد که قرار بود کدهای مربوط به تحقیقات را نشان دهد. او آن را از یک دستگاه ویژه و جداگانه اندرویدی ساخته است ، که به گفته او به نظر خطرناک نمی رسد. اما تمرکز در تحلیل وبلاگ جعلی ، پرچم های قرمز را در آن زمان برافراشت. وی در مورد محموله بدافزاری که مهاجم سعی در به خطر انداختن آن داشت ، گفت: “من شک داشتم که یک بار کد پوسته را دیدم.” “این کمی عجیب و مرموز بود.”




منبع: sadeh-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>