记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

不讲武德 | 朝鲜黑客打着安全研究的旗号社工安全研究人员

2021-01-26 19:49



《伊索寓言》中,有一个“披着羊皮的狼”的故事。一只狼为了随心所欲地吃羊,披上了羊皮混进了羊圈。不过假的终究是假的,牧羊人最终还是发现了这只恶狼……


时至今日,这样的故事还在上演。本周一,谷歌威胁分析小组发布博客称,他们发现了一个从 2020 年下半年持续至今的攻击活动。这个攻击的目标主要是各大公司、组织中从事漏洞研究和分析的安全研究员。



谷歌认为,这是一种典型的社会工程学攻击,背后的攻击者来自朝鲜,他们利用Twitter、LinkedIn、Telegram、Discord、Keybase等各种社交网络发布漏洞分析文章,冒充专业安全研究人员去联系安全从业者,诱导目标参与漏洞研究项目,进而分发恶意代码。这个过程当中还用到了电子邮件。


具体攻击过程分为几个阶段。在初期,攻击者建立了几个推特账号,并用这些账号发布漏洞利用视频,在账号资料里添加他们的博客地址。



账号关联的博客经常发布已公开披露的漏洞分析文章。还有一些不知情的安全研究员投稿。而几个不同的推特账号之间还互相转发,增加真实性和活跃度。所有的这一切,都是为了赢得其他安全研究人员的信任。也就是说,他们先给自己披上了一层皮。



在初期批皮阶段,攻击者已经开始利用社工手段获取目标安全研究员的信息。随后,他们会与目标人物私下沟通,邀请后者一起研究漏洞,并发送包含真实漏洞 POC 的 Visual Studio 项目。这表面上看是为了分享漏洞研究成果,但实际上如果目标人物编译了这个项目,在编译过程中就会执行攻击者植入的另一个恶意DLL,系统会受到感染并直接与攻击者的C2服务器通信。

编译过程中触发的恶意命令片段


此外,他们还诱导目标研究人员访问 blog.br0vvnn[.]io 博客地址,发起攻击。尽管有些研究人员使用的是最新版 Windows 10 和 Chrome,还是在访问博客后感染了恶意代码。谷歌认为,可能是攻击者综合利用了 Chrome 和 Windows 10 的 0-day 漏洞发起的攻击。


看到这儿,PWN 君直呼好家伙。幸好谷歌发现并披露了这个攻击。伤害性高不高先不说,但侮辱性是真的强。真有这么高的技术的话,好好挖洞做研究他不香吗?难道这些漏洞分析文章或视频不是真实的?



谷歌的研究人员表示,虽然无法验证这些视频中漏洞分析和利用的真实情况,不过可以肯定的是,至少有一个视频是造假的。1 月 14 号那天,攻击者在 Twitter 上分享了一个视频,声称他们能利用 Windows Defender 近期修复的一个漏洞(CVE-2021-1647)。在视频中,他们声称成功构造了漏洞利用程序cmd.exe shell。但仔细分析发现这个利用是不存在的,视频下的多条评论也发出了质疑。随后,攻击者开始使用其他Twitter帐号转发原帖,为自己洗地。也就是说,如果仔细观察的话,攻击者还是有破绽的。但是因为前期批了皮,让很多人忽视了这些细节。




就在谷歌发布研究结果后,攻击者的推特账号已经封禁了。微博上有几位资深安全专家都说自己收到了私信。



还有某大佬发推调侃:

“为啥说我是个菜鸡?

因为他们都没把我当攻击目标


知识来源: https://mp.weixin.qq.com/s?__biz=MzA3Nzc2MjIxOA==&mid=2650334366&idx=1&sn=d5f9c57abb9b92591e091dc6c48df7da

阅读:69383 | 评论:0 | 标签:黑客 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“不讲武德 | 朝鲜黑客打着安全研究的旗号社工安全研究人员”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码: