แคมเปญของเกาหลีเหนือที่มุ่งเป้าไปยังนักวิจัยด้านความปลอดภัย

 (blog.google)
2 คะแนน โดย GN⁺ 2023-09-08 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Threat Analysis Group (TAG) ของ Google รายงานแคมเปญต่อเนื่องที่มุ่งเป้าไปยังนักวิจัยด้านความปลอดภัยโดยผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ
  • แคมเปญนี้ถูกเปิดเผยครั้งแรกในเดือนมกราคม 2021 และใช้ช่องโหว่แบบ 0-day โจมตีนักวิจัยที่ทำงานด้านการวิจัยและพัฒนาช่องโหว่
  • TAG ได้ติดตามและขัดขวางแคมเปญลักษณะนี้มานานกว่า 2 ปี พร้อมค้นหา 0-day เพื่อปกป้องผู้ใช้ออนไลน์
  • ล่าสุด TAG ระบุแคมเปญใหม่จากผู้โจมตีกลุ่มเดิม โดยอ้างอิงจากความคล้ายคลึงกับแคมเปญก่อนหน้า
  • มีการใช้ 0-day ที่ยังทำงานได้อย่างน้อยหนึ่งรายการโจมตีนักวิจัยด้านความปลอดภัยในช่วงไม่กี่สัปดาห์ที่ผ่านมา โดยได้รายงานช่องโหว่นี้ให้ผู้ให้บริการที่ได้รับผลกระทบทราบแล้ว และกำลังอยู่ระหว่างการออกแพตช์
  • ผู้คุกคามจากเกาหลีเหนือใช้เว็บไซต์โซเชียลมีเดียเพื่อสร้างความสัมพันธ์กับเป้าหมาย มักพูดคุยกันยาวนานและพยายามร่วมมือกันในประเด็นที่สนใจร่วมกัน
  • หลังจากสร้างความสัมพันธ์กับนักวิจัยเป้าหมายได้แล้ว ผู้คุกคามจะส่งไฟล์อันตรายที่มี 0-day อย่างน้อยหนึ่งรายการฝังอยู่ในแพ็กเกจซอฟต์แวร์ยอดนิยม
  • หลังการโจมตีสำเร็จ shellcode จะตรวจสอบการทำงานใน virtual machine และส่งข้อมูลที่เก็บรวบรวมได้พร้อมภาพหน้าจอไปยังโดเมน command-and-control ที่ผู้โจมตีควบคุม
  • นอกจากการใช้ช่องโหว่ 0-day โจมตีนักวิจัยแล้ว ผู้คุกคามยังพัฒนาเครื่องมือ Windows แบบสแตนด์อโลนที่ดูเหมือนเป็นเครื่องมือสำหรับดาวน์โหลดข้อมูลสัญลักษณ์ แต่ก็สามารถดาวน์โหลดและรันโค้ดใดก็ได้จากโดเมนที่ผู้โจมตีควบคุม
  • TAG แนะนำว่าหากเคยดาวน์โหลดหรือรันเครื่องมือนี้ ควรดำเนินมาตรการป้องกันเพื่อตรวจสอบว่าระบบอยู่ในสถานะสะอาดที่เชื่อถือได้ ซึ่งอาจต้องติดตั้งระบบปฏิบัติการใหม่
  • TAG ใช้ผลการวิจัยเพื่อยกระดับความปลอดภัยและความมั่นคงของผลิตภัณฑ์ Google และเพิ่มเว็บไซต์กับโดเมนที่ตรวจพบทั้งหมดเข้าไปใน Safe Browsing เพื่อป้องกันไม่ให้ผู้ใช้ถูกโจมตีเพิ่มเติม
  • TAG ส่งคำเตือนผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลให้ผู้ใช้ Gmail และ Workspace และแนะนำให้ผู้ที่อาจเป็นเป้าหมายเปิดใช้ Enhanced Safe Browsing ของ Chrome พร้อมอัปเดตอุปกรณ์ทุกเครื่อง
  • TAG มุ่งมั่นแบ่งปันผลการวิจัยกับชุมชนด้านความปลอดภัยเพื่อเพิ่มการรับรู้และความเข้าใจต่อกลยุทธ์กับเทคนิคต่าง ๆ ซึ่งช่วยเสริมการปกป้องผู้ใช้ทั่วทั้งอุตสาหกรรม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-09-08
ความคิดเห็นจาก Hacker News
  • getsymbol ซึ่งเป็นเครื่องมืออันตรายบน Github มีดาว 214 ดวง แต่ไม่มีแบนเนอร์เตือน มีข้อเสนอให้ Github เพิ่มคำเตือนสำหรับซอฟต์แวร์อื่นที่ทราบว่ามีแบ็กดอร์ในลักษณะนี้
  • มีการตั้งคำถามว่าแม้ชาวเกาหลีเหนือจะเข้าถึงอินเทอร์เน็ตได้โดยไม่มีข้อจำกัดและเข้าใจภาษาอังกฤษ แต่พวกเขาหลีกเลี่ยงการรับสื่อที่ขัดกับสื่อของรัฐได้อย่างไร
  • มีการแสดงความกังวลเกี่ยวกับความน่าเชื่อถือของเว็บไซต์ดาวโหลดยอดนิยมอย่าง ffmpeg windows binaries และความเป็นไปได้ที่ผู้กระทำการระดับรัฐจะใช้ไฟล์ดาวน์โหลดที่โฮสต์อย่างไม่เป็นทางการ
  • การใช้ 0days กับนักวิจัยด้านความปลอดภัยโดยเกาหลีเหนือดูเหมือนเป็นการทดสอบ และอาจมีประโยชน์เพิ่มเติมจากการได้ 0days เพิ่มจากนักวิจัยที่ตกเป็นเป้าหมาย
  • มีการคาดเดาว่าการอัปเดตความปลอดภัยล่าสุดของ macOS อาจเกี่ยวข้องกับช่องโหว่ที่กำลังถูกพูดถึง
  • มีการตั้งข้อสงสัยว่านักวิจัยด้านความปลอดภัยจะรันไบนารี Windows ที่ได้รับจากแหล่งที่ไม่รู้จักหรือไม่ และมีข้อเสนอว่าพวกเขาน่าจะตรวจสอบไบนารีในสภาพแวดล้อมที่ปลอดภัยกว่ามากกว่า
  • มีการตั้งคำถามว่ามีการตัดสินได้อย่างไรว่าภัยคุกคามนี้มาจากเกาหลีเหนือ
  • มีข้ออ้างว่าเว็บไซต์และโดเมนที่ได้รับการยืนยันทั้งหมดจะถูกเพิ่มเข้า Safe Browsing แม้ว่าเว็บไซต์ dbgsymbol.com จะไม่แสดงคำเตือนใน Safe Browsing ของเบราว์เซอร์ Brave ก็ตาม
  • อดีตเจ้าหน้าที่ข่าวกรองเตือนว่าอย่าประเมินความสามารถทางเทคนิคของเกาหลีเหนือ หรือความสามารถในการคัดเลือกคนฉลาดและขยันมาทำงานต่ำเกินไป
  • มีข้อเสนอว่าหากทำงานในบทบาทด้านความปลอดภัย ควรหลีกเลี่ยงการระบุตำแหน่งงานของตนบน LinkedIn ว่าเป็นสายความปลอดภัย