朝鮮黑客組織正冒充三星招聘人員開展間諜活動(dòng)

近日，據(jù)谷歌 TAG 研究人員報(bào)告說，與朝鮮有關(guān)聯(lián)的 APT 組織冒充三星招聘人員，這是一場(chǎng)魚叉式網(wǎng)絡(luò)釣魚活動(dòng)，目標(biāo)是提供惡意軟件解決方案的韓國(guó)安全公司。
谷歌TAG觀察到一個(gè)由朝鮮政府支持的黑客組織，該組織之前曾將安全研究人員偽裝成三星招聘人員，并向多家提供惡意軟件解決方案的韓國(guó)信息安全公司的員工發(fā)送虛假工作機(jī)會(huì)。” 這些電子郵件包含一份 PDF，據(jù)稱是三星某個(gè)職位的職位描述；但是，PDF 格式錯(cuò)誤，無(wú)法在標(biāo)準(zhǔn) PDF 閱讀器中打開。當(dāng)目標(biāo)回復(fù)他們無(wú)法打開職位描述時(shí)，攻擊者會(huì)回復(fù)一個(gè)指向惡意軟件的惡意鏈接，該鏈接聲稱是存儲(chǔ)在 Google Drive 中的“安全 PDF 閱讀器”，但現(xiàn)在已被阻止。”
攻擊者使用惡意PDF自稱是工作記錄TI針對(duì)三星的作用，因?yàn)檫@個(gè)原因，收件人無(wú)法打開它，并提供了一個(gè)鏈接到一個(gè)“安全的PDF閱讀器發(fā)送“ 應(yīng)用程序。該應(yīng)用程序存儲(chǔ)在 Google Drive 中，是合法 PDF 閱讀器PDFTron 的受感染版本 。安裝該應(yīng)用程序后，會(huì)在受害者的設(shè)備上建立一個(gè)后門。
Zinc APT 組織（又名Lazarus）的活動(dòng)，在2014年和2015年激增，其成員在攻擊中主要使用定制的惡意軟件。這個(gè)黑客組織至少?gòu)?009年開始活躍，甚至早在2007年，它參與了旨在破壞數(shù)據(jù)和破壞系統(tǒng)的網(wǎng)絡(luò)間諜活動(dòng)和破壞活動(dòng)。
該組織被認(rèn)為是大規(guī)模 WannaCry 勒索軟件攻擊、2016年的一系列SWIFT攻擊以及索尼影業(yè)黑客攻擊的罪魁禍?zhǔn)住９粽咄ㄟ^多個(gè)社交網(wǎng)絡(luò)平臺(tái)攻擊研究人員，包括Twitter、LinkedIn、Telegram、Discord和Keybase。
黑客使用虛假檔案與感興趣的研究人員取得聯(lián)系。2020年中，ZINC黑客為虛假安全研究人員創(chuàng)建了Twitter個(gè)人資料，用于轉(zhuǎn)發(fā)安全內(nèi)容和發(fā)布有關(guān)漏洞研究的信息。使用Twitter個(gè)人資料分享他們控制下的博客鏈接，還有他們聲稱漏洞利用的視頻，以及放大和轉(zhuǎn)發(fā)來自他們控制下的其他帳戶的帖子。
建立初期通信后，他們會(huì)詢問目標(biāo)安全研究人員是否希望共同進(jìn)行漏洞研究，然后與其共享 Visual Studio 項(xiàng)目。在使用的Visual Studio項(xiàng)目包括利用該漏洞的源代碼以及一個(gè)額外的 DLL，該DLL將通過Visual Studio Build Events執(zhí)行這是一個(gè)后門。Visual Studio項(xiàng)目包含一個(gè)惡意DLL，研究人員編譯該項(xiàng)目時(shí)會(huì)執(zhí)行該 DLL。惡意代碼會(huì)導(dǎo)致安裝后門，允許攻擊者接管目標(biāo)的計(jì)算機(jī)。
攻擊者發(fā)表了一篇名為“DOS2RCE：一種利用 V8 NULL 指針解除引用錯(cuò)誤的新技術(shù)”的博客文章 ，并通過 Twitter 分享。2020年10月19日至21日期間使用Chrome瀏覽器訪問該帖子的研究人員感染了已知的ZINC惡意軟件。微軟研究人員注意到，一些受害者使用的是完全打補(bǔ)丁的瀏覽器，這種情況表明攻擊者使用了零日漏洞。并非該網(wǎng)站的所有訪問者都受到感染。
黑客還使用其他技術(shù)來針對(duì)安全專業(yè)人員，例如，在某些情況下，將博客文章作為MHTML 文件分發(fā)，其中包含一些混淆的JavaScript，這些JavaScript指向ZINC控制的域，以便進(jìn)一步執(zhí)行JavaScript。
最近對(duì)韓國(guó)反惡意軟件的攻擊表明，黑客們目的就是破壞韓國(guó)安全組織的供應(yīng)鏈并針對(duì)其客戶。
注：本文由E安全編譯報(bào)道。
文章轉(zhuǎn)載自騰訊新聞客戶端自媒體