تعتقد Microsoft أن المتسللين المرتبطين بكوريا الديمقراطية استخدموا Chrome Zero-Day

قرب نهاية يناير 2021 ، كشفت مجموعة تحليل التهديدات في Google أن مجموعة من المتسللين الكوريين الشماليين تستهدف الباحثين الأمنيين عبر الإنترنت ، وتبحث بشكل خاص عن أولئك الذين يعملون على نقاط الضعف والاستغلال.

الآن ، أكدت Microsoft أنها كانت تتعقب أيضًا فريق القرصنة في كوريا الديمقراطية ، الذي تم الكشف عنه في تقرير نُشر مؤخرًا.

مجموعة القرصنة الكورية الشمالية لتعقب مايكروسوفت

في تقرير نُشر على مدونة Microsoft Security ، قام فريق Microsoft Threat Intelligence Team بتفصيل معرفته بمجموعة القرصنة المرتبطة بكوريا الديمقراطية. تتعقب Microsoft مجموعة القرصنة باسم "ZINC" ، بينما يختار باحثون أمنيون آخرون الاسم الأكثر شهرة "Lazarus".

الموضوعات ذات الصلة: أكثر عصابات الجرائم الإلكترونية المنظمة شهرة

يوضح كل من تقريري Google و Microsoft أن الحملة المستمرة تستخدم وسائل التواصل الاجتماعي لبدء محادثات عادية مع الباحثين الأمنيين قبل إرسال ملفات تحتوي على باب خلفي.

يدير فريق القرصنة العديد من حسابات Twitter (جنبًا إلى جنب مع LinkedIn و Telegram و Keybase و Discord ومنصات أخرى) ، والتي كانت تنشر ببطء أخبار أمنية مشروعة ، وبناء سمعة كمصدر موثوق. بعد فترة ، كانت الحسابات التي يسيطر عليها الممثل تتواصل مع الباحثين الأمنيين ، وتطرح عليهم أسئلة محددة حول أبحاثهم.

إذا استجاب الباحث الأمني ​​، فستحاول مجموعة القرصنة نقل المحادثة إلى منصة مختلفة ، مثل Discord أو رسائل البريد الإلكتروني.

بمجرد إنشاء طريقة الاتصال الجديدة ، يرسل ممثل التهديد مشروع Visual Studio المخترق على أمل أن يقوم الباحث الأمني ​​بتشغيل الكود دون تحليل المحتويات.

الموضوعات ذات الصلة: ما هو الباب الخلفي وماذا يفعل؟

لقد بذل فريق القرصنة الكوري الشمالي جهودًا كبيرة لإخفاء الملف الضار ضمن مشروع Visual Studio ، حيث استبدل ملف قاعدة بيانات قياسي بملف DLL ضار ، إلى جانب طرق التعتيم الأخرى.

وفقًا لتقرير Google حول الحملة ، فإن الباب الخلفي الخبيث ليس هو طريقة الهجوم الوحيدة.

بالإضافة إلى استهداف المستخدمين عبر الهندسة الاجتماعية ، فقد لاحظنا أيضًا العديد من الحالات التي تم فيها اختراق الباحثين بعد زيارة مدونة الممثلين. في كل حالة من هذه الحالات ، اتبع الباحثون رابطًا على Twitter لملف مكتوب مستضاف على blog.br0vvnn [.] io ، وبعد ذلك بوقت قصير ، تم تثبيت خدمة ضارة على نظام الباحث وسيبدأ باب خلفي في الذاكرة منارة إلى خادم قيادة وتحكم مملوك للجهات الفاعلة.

تعتقد Microsoft أن "استغلال متصفح Chrome قد تمت استضافته على المدونة" ، على الرغم من عدم التحقق من ذلك من قبل أي من فريق البحث. إضافة إلى ذلك ، تعتقد كل من Microsoft و Google أنه تم استخدام ثغرة يوم الصفر لإكمال ناقل الهجوم هذا.

استهداف الباحثين الأمنيين

التهديد المباشر بهذا الهجوم للباحثين الأمنيين. استهدفت الحملة على وجه التحديد الباحثين الأمنيين المشاركين في الكشف عن التهديدات وأبحاث الثغرات الأمنية.

كما نرى في كثير من الأحيان مع الهجمات شديدة الاستهداف من هذا النوع ، فإن التهديد لعامة الناس يظل منخفضًا. ومع ذلك ، فإن تحديث المتصفح وبرامج مكافحة الفيروسات لديك دائمًا فكرة جيدة ، كما هو الحال مع عدم النقر فوق الروابط العشوائية على وسائل التواصل الاجتماعي ومتابعتها.