نرم‌افزار تقلبی و Zero-Days: APT کره شمالی محققان امنیتی را در حال هک کردن دستگیر کرد

گوگل دوباره یک بازیگر APT کره شمالی را دستگیر کرد که محققان امنیتی را با ابزارهای نرم افزاری روز صفر و تقلبی هدف قرار می دهد.

واحد شکار تهدید گوگل دوباره یک بازیگر فعال APT کره شمالی را رهگیری کرده است که به DM محققان امنیتی رفته و از ابزارهای نرم افزاری روز صفر و دستکاری شده برای کنترل رایانه های آنها استفاده می کند.

گروه تحلیل تهدیدات گوگل (TAG) روز پنجشنبه حساب‌های شبکه‌های اجتماعی تیم هکری تحت حمایت دولت را حذف کرد و هشدار داد که حداقل یک روز صفر که به طور فعال مورد سوء استفاده قرار گرفته است، استفاده می‌شود و در حال حاضر اصلاح نشده است.

عامل تهدید کره شمالی با استفاده از پلتفرم هایی مانند X (جانشین توییتر) به عنوان نقطه تماس اولیه خود، با حیله گری روابطی را با محققان هدف از طریق تعاملات و گفتگوهای طولانی ایجاد کرد.

در یک مورد، آنها یک گفتگوی چند ماهه انجام دادند و سعی کردند با یک محقق امنیتی در مورد موضوعات مورد علاقه مشترک همکاری کنند. پس از تماس اولیه از طریق X، آنها به یک برنامه پیام رسانی رمزگذاری شده مانند سیگنال، واتس اپ یا وایر رفتند. گوگل توضیح داد: هنگامی که رابطه ای با یک محقق هدف ایجاد شد، عوامل تهدید یک فایل مخرب را ارسال کردند که حاوی حداقل یک روز صفر در یک بسته نرم افزاری محبوب بود .

گوگل بسته نرم افزاری آسیب پذیر را شناسایی نکرد.

گوگل گفت که بهره‌برداری روز صفر برای نصب کد پوسته‌ای استفاده شده است که یک سری از بررسی‌های ماشین ضد مجازی را انجام می‌دهد و سپس اطلاعات جمع‌آوری‌شده را به همراه یک عکس صفحه به یک دامنه فرمان و کنترل کنترل شده توسط مهاجم ارسال می‌کند.

گوگل با اشاره به اینکه نقص امنیتی به فروشنده آسیب دیده گزارش شده و در مرحله اصلاح است، گفت: «شل کد مورد استفاده در این اکسپلویت به روشی مشابه کد پوسته مشاهده شده در اکسپلویت های قبلی کره شمالی ساخته شده است.

گوگل اعلام کرده است که جزئیات فنی و تجزیه و تحلیل این اکسپلویت ها را تا زمانی که یک پچ در دسترس قرار نگیرد، خودداری می کند.

شکارچیان بدافزار گوگل علاوه بر هدف قرار دادن محققان با سوء استفاده های روز صفر، گروه APT را در حال توزیع یک ابزار ویندوز مستقل که هدف اعلام شده "دانلود نمادهای اشکال زدایی از سرورهای نماد مایکروسافت، گوگل، موزیلا و سیتریکس برای مهندسان معکوس" است، دستگیر کردند.

کد منبع این ابزار که برای اولین بار یک سال پیش در GitHub منتشر شد، چندین بار با ویژگی هایی برای کمک به دانلود سریع و آسان اطلاعات نماد از تعدادی از منابع مختلف به روز شده است.

با این حال، گوگل هشدار می دهد که این ابزار برای ربودن داده ها از ماشین های کاربر تقلب شده است.

این ابزار همچنین توانایی دانلود و اجرای کد دلخواه را از یک دامنه تحت کنترل مهاجم دارد. اگر این ابزار را دانلود یا اجرا کرده اید، TAG توصیه می کند اقدامات احتیاطی را انجام دهید تا مطمئن شوید که سیستم شما در وضعیت تمیز شناخته شده ای قرار دارد و احتمالاً نیاز به نصب مجدد سیستم عامل دارد.

این اولین مورد مستندی نیست که هکرهای دولت کره شمالی محققان امنیتی را هدف قرار می دهند، به ویژه آنهایی که در فضای تهاجمی فعالیت می کنند.

در ژانویه 2021، گوگل یک «نهاد تحت حمایت دولت مستقر در کره شمالی» را دستگیر کرد که سیستم‌های رایانه‌ای متعلق به محققان امنیتی را که در زمینه تحقیق و توسعه آسیب‌پذیری در شرکت‌ها و سازمان‌های مختلف کار می‌کنند، هدف قرار داده و هک می‌کند.

ما بسیار سپاسگزاریم که این خبر را مطالعه کرده‌اید و برای خواندن این خبر، متشکریم. همچنین، از شما دعوت می‌کنیم تا ما را دنبال کنید تا به روز با جدیدترین اخبار تکنولوژی باشید.