2021 年 1 月,威胁分析组织 (TAG)公开披露了朝鲜政府支持的参与者发起的一项活动,他们利用 0day 漏洞攻击从事漏洞研究和开发的安全研究人员。在过去的两年半中,TAG 持续跟踪和破坏这些行为者的活动,寻找 0day 漏洞并保护在线用户。最近,TAG 意识到一项新的活动可能来自同一行动者,因为该活动与之前的活动有相似之处。TAG 了解到,在过去几周内,至少有一个被积极利用的 0day 漏洞被用来针对安全研究人员。该漏洞已报告给受影响的供应商,并且正在修复中。
在我们继续分析此活动的同时,我们将提供初步调查结果的早期通知,以警告安全研究界。我们希望这篇文章能够提醒安全研究人员,他们可能成为政府支持的攻击者的目标,并对安全实践保持警惕。
安全研究人员定位
与 TAG 之前报道的活动类似,朝鲜威胁行为者使用 X(以前称为 Twitter)等社交媒体网站与目标建立融洽的关系。在一个案例中,他们进行了长达数月的对话,试图与安全研究人员就共同感兴趣的话题进行合作。通过 X 进行初步联系后,他们转向使用 Signal、WhatsApp 或 Wire 等加密消息应用程序。一旦与目标研究人员建立了关系,威胁行为者就会发送一个恶意文件,其中包含流行软件包中的至少一个 0day。
演员控制的 Twitter 个人资料
成功利用后,shellcode 会进行一系列反虚拟机检查,然后将收集到的信息以及屏幕截图发送回攻击者控制的命令和控制域。此漏洞利用中使用的 shellcode 的构造方式与之前朝鲜漏洞利用中观察到的 shellcode 类似。
该漏洞已报告给受影响的供应商,并且正在修复中。修补后,我们将根据我们的披露政策发布更多技术细节和所涉及漏洞的分析。
潜在的继发感染载体
除了利用 0day 漏洞攻击研究人员之外,威胁行为者还开发了一个独立的 Windows 工具,其既定目标是“从 Microsoft、Google、Mozilla 和 Citrix 符号服务器下载调试符号以供逆向工程师使用”。该工具的源代码于2022 年 9 月 30 日首次在 GitHub 上发布,此后发布了多次更新。从表面上看,该工具似乎是一个有用的实用程序,可以快速轻松地从多个不同来源下载符号信息。符号提供有关二进制文件的附加信息,在调试软件问题或进行漏洞研究时非常有用。
但该工具还能够从攻击者控制的域下载并执行任意代码。如果您已下载或运行此工具,TAG 建议采取预防措施,确保您的系统处于已知的干净状态,可能需要重新安装操作系统。
GetSymbol 的 Github 存储库
攻击者控制的网站和帐户
GetSymbol:
https://github[.]com/dbgsymbol/
https://dbgsymbol[.]com
50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bdC2 IPs/Domains:
23.106.215[.]105
www.blgbeach[.]comX (formerly Twitter) Accounts
https://twitter.com/Paul091_Wire Accounts
@paul354Mastodon Account:
https://infosec.exchange/@paul091_转载来源:https://blog.google/threat-analysis-group/active-north-korean-campaign-targeting-security-researchers/
图片来源网络侵权可联系删除
