Разделы

Северокорейская хакерская группировка атакует честных экспертов по кибербезопасности

Связанная с властями Северной Кореи группировка Zinc создала несколько профилей в соцсетях, имитирующих этичных экспертов по кибербезопасности, и пытались договориться о сотрудничестве с реальными специалистами, которым затем подгружался бэкдор.

Борьба с препятствиями

Microsoft и Google отслеживают деятельность новой кибергруппировки, которая прицельно атакует экспертов по информационной безопасности.

В частности, Google сообщил о том, что эта группировка связана с правительством Северной Кореи, и что главным каналом для первичного нападения служат социальные сети. Злоумышленники создавали аккаунты мнимых специалистов по ИТ-безопасности и обращались к потенциальным жертвам с просьбой посодействовать с исследованиями программных уязвимостей. После этого жертвам пытались подгрузить специально подготовленный вредонос.

Группировка, которую Microsoft теперь называет Zinc, атаковала таким образом пентестеров, исследователей проблем с безопасностью, а также работников технологических и ИБ-компаний.

kimchenyn.jpg
Хакеры из Северной Кореи атакуют этичных ИБ-специалистов

Microsoft занялась этой группировкой после того, как антивирус Windows Defender обнаружил одну такую атаку в активной фазе.

Бэкдор и другие пакости

Начало кампании пришлось на середину 2020 г., когда операторы Zinc приступили к активному созданию аккаунтов мнимых специалистов по информационной безопасности в Twitter, в которых активно публиковались материалы по теме киберзащиты. Для большей убедительности другие аккаунты в Twitter, также подконтрольные операторам Zinc, активно тиражировали и комментировали эти твиты, чтобы эффективнее имитировать профиль «известного специалиста по кибербезопасности». Также были созданы фальшивые профили в LinkedIn и на GitHub.

В дальнейшем операторы кампании связывались с реальными экспертами по кибербезопасности, пытались договориться о сотрудничестве и, если жертва поддавалась на уговоры, высылали проект VisualStudio с вредоносным DLL, который запускался при компиляции проекта на стороне жертвы.

DLL устанавливал бэкдор, который позволял операторам Zinc красть данные и запускать различные команды в системе жертвы. В частности, злоумышленники автоматически и вручную нумеровали файлы и каталоги на целевом компьютере, снимали скриншоты и докачивали дополнительные модули.

Кроме этого злоумышленники использовали вредоносный сайт (точнее, блог — br0vvnn.io), на который заманивали своих жертв. Даже при наличии всех обновлений в системе жертв заражения происходили. По данным Microsoft, речь может идти либо об использовании цепочки эксплойтов к уязвимостям нулевого дня в Chrome или к эксплойтам, которые атаковали совсем свежие уязвимости в тот короткий период, когда жертвы еще не успевали получить и установить нужное обновление. Впрочем, однозначных доказательств этого предположения у Microsoft нет.

Другие виды атак

Другие способы осуществления атак со стороны Zinc включали блог-посты в формате файлов MHTML с активными компонентами, которые подгружали вредоносный Javascript. Происходили попытки эксплуатации уязвимости CVE-2017-16238 в драйверах антивируса Vir.ITeXplorer (по данным, Microsoft не удались), а также попытки подгрузить жертвам средства для кражи паролей в Chrome.

Техподдержка «Базальт СПО» — гарантия надежной работы вашей ИТ-инфраструктуры
Маркет

Само посещение вышеупомянутого блога может быть опасным, так что настоятельно рекомендуется немедленно провести проверки на предмет признаков заражения. Они перечисляются в исследовании Microsoft на сайте компании.

«Если операторы кампании идут на упомянутые в начале материала ухищрения, значит, деятельность специалистов по безопасности им всерьез мешает, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Это хорошая новость: значит, от деятельности нашей отрасли есть немалая польза».

Роман Георгиев