Google revela campanha apoiada pela Coréia do Norte visando pesquisadores de segurança
26 de janeiro de 2021 0 595Os agressores se passaram por pesquisadores para ganhar a confiança de suas vítimas.
O Grupo de Análise de Ameaças do Google identificou uma campanha em andamento que tem como alvo pesquisadores de segurança que trabalham em vulnerabilidades nos últimos meses. A equipe afirma que “uma entidade apoiada pelo governo com sede na Coreia do Norte ” está por trás dos ataques, que normalmente usam engenharia social para envolver as vítimas. Em um post detalhando a campanha, Adam Weidemann do TAG explicou que os maus atores iriam muito longe para ganhar a confiança das vítimas, principalmente se passando por pesquisadores.
Eles construíam seus próprios blogs de pesquisa e os preenchiam com análises de vulnerabilidades que haviam sido divulgadas publicamente para parecerem legítimas. Os malfeitores também mantinham contas no Twitter para postar vídeos de suas alegadas façanhas e alcançar o maior número possível de pessoas. Em pelo menos um caso, o Google encontrou uma das contas do Twitter defendendo um vídeo que os malfeitores postaram no YouTube contendo um exploit que se revelou falso.
A equipe TAG do Google disse que os atacantes contataram as vítimas pretendidas, pedindo para colaborar na pesquisa de vulnerabilidade. Além do Twitter, eles também usaram LinkedIn, Telegram, Discord, Keybase e e-mail para chegar aos seus alvos, enviando-lhes um projeto do Microsoft Visual Studio com malware para entrar em seus sistemas. Em alguns casos, os computadores das vítimas foram comprometidos depois de visitar o blog de um malfeitor após seguir um link no Twitter. Ambos os métodos levaram à instalação de uma porta dos fundos nos computadores das vítimas que as conectou a um servidor de comando e controle controlado pelo invasor
Os sistemas das vítimas foram comprometidos durante a execução de navegadores Windows 10 e Chrome totalmente corrigidos e atualizados. A equipe TAG do Google viu apenas os atacantes visando sistemas Windows, até agora, mas ainda não pode confirmar “o mecanismo de comprometimento” e está incentivando os pesquisadores a enviar vulnerabilidades do Chrome para seu programa de recompensa de bug. A equipe também listou todos os sites e contas controlados por atores que identificou como parte da campanha.
