首页 资讯 安全 查看内容

谷歌发现朝鲜 APT 攻击者利用0day漏洞针对安全研究人员

2023-9-11 11:19 1746 0

摘要: 谷歌威胁追踪部门再次拦截了一名活跃的朝鲜 APT 攻击者,该攻击者潜入安全研究人员的 DM 中,并使用0day漏洞和被操纵的软件工具来控制他们的计算机。谷歌威胁分析小组(TAG)周四公布了政府支持的黑客团队的社交媒体 ...
关键词: 研究人员 攻击者 漏洞 朝鲜 工具 安全 一个 使用 表示 利用

谷歌威胁追踪部门再次拦截了一名活跃的朝鲜 APT 攻击者,该攻击者潜入安全研究人员的 DM 中,并使用0day漏洞和被操纵的软件工具来控制他们的计算机。

谷歌威胁分析小组(TAG)周四公布了政府支持的黑客团队的社交媒体账户,并警告说,至少有一个被积极利用的0day漏洞正在被使用,并且目前尚未修补。

朝鲜攻击者利用 X(Twitter 的后继者)平台长时间的互动和讨论,狡猾地与目标研究人员建立了关系。

“在一个案例中,他们进行了长达数月的对话,试图与安全研究人员就共同感兴趣的话题进行合作。通过 X 进行初步联系后,他们转向使用 Signal、WhatsApp 或 Wire 等加密消息应用程序。一旦与目标研究人员建立了关系,攻击者就会发送一个恶意文件,其中包含流行软件包中的至少一个 0day。”谷歌解释道。

谷歌没有识别出存在漏洞的软件包。

谷歌表示,0day漏洞被用来植入 shellcode,执行一系列反虚拟机检查,然后将收集到的信息以及屏幕截图发送回攻击者控制的C2域。

谷歌表示:“此漏洞中使用的 shellcode 的构造方式与朝鲜之前的漏洞利用中观察到的 shellcode 类似。”并指出,该安全缺陷已报告给受影响的供应商,并且正在修补中。

谷歌表示,在补丁可用之前,它不会透露技术细节和漏洞分析。

除了利用0day漏洞攻击研究人员之外,Google 的恶意软件猎人还发现 APT 组织分发了一个独立的 Windows 工具,该工具的既定目标是“从 Microsoft、Google、Mozilla 和 Citrix 符号服务器下载调试符号以供逆向工程师使用”。

该实用程序的源代码一年前首次在 GitHub 上发布,现已多次更新,其功能可帮助您快速轻松地从多个不同来源下载符号信息。

然而,谷歌警告称,该工具已被操纵以劫持用户计算机上的数据。

“该工具还能够从攻击者控制的域下载并执行任意代码。如果您已下载或运行此工具,TAG 建议采取预防措施,以确保您的系统处于已知的干净状态,可能需要重新安装操作系统。”谷歌表示。

这并不是朝鲜政府黑客针对安全研究人员的第一起有记录的案例,特别是那些在攻击性领域开展工作的安全研究人员。

2021 年 1 月,谷歌发现一个“位于朝鲜的政府支持实体”针对不同公司和组织从事漏洞研究和开发的安全研究人员的计算机系统进行攻击。

该活动在多个在线平台上组织良好,包括来自诱杀网站的路过式浏览器攻击以及社交媒体网站上持续的直接触摸活动。

参考链接:https://www.bleepingcomputer.com/news/security/toyota-says-filled-disk-storage-halted-japan-based-factories/

本文出处: https://www.toutiao.com/article/7276249798515212855/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部