Hackers norte-coreanos têm como alvo pesquisadores de segurança com exploração de dia zero

Views: 121
0 0
Read Time:1 Minute, 57 Second

Os agentes de ameaças norte-coreanos estão mais uma vez tentando comprometer as máquinas dos pesquisadores de segurança, empregando uma exploração de dia zero.

O alerta vem dos próprios pesquisadores de segurança do Google, Clement Lecigne e Maddie Stone, que detalharam a última campanha montada por invasores apoiados pelo governo.

Pesquisadores de segurança visados ​​com zero-day

Os invasores inicialmente contataram os pesquisadores através das redes sociais (por exemplo, X, antigo Twitter, ou Mastodon) sob o pretexto de colaborar na pesquisa de segurança. Depois de transferirem a conversa para aplicativos de mensagens instantâneas criptografados de ponta a ponta (Signal, WhatsApp ou Wire) e estabelecerem confiança, eles entregariam um arquivo malicioso contendo uma exploração de dia zero.

compromisso de dia zero para pesquisadores de segurança
Perfil X controlado pelo ator. (Fonte: Google)

“Após a exploração bem-sucedida, o shellcode realiza uma série de verificações de máquina antivirtual e, em seguida, envia as informações coletadas, juntamente com uma captura de tela, de volta para um domínio de comando e controle controlado pelo invasor”, disseram Lecigne e Stone.

Os invasores também tentaram outro truque: apontaram aos pesquisadores uma ferramenta do Windows (GetSymbol) que baixa símbolos de depuração de servidores de símbolos da Microsoft, Google, Mozilla e Citrix para engenheiros reversos, mas também é capaz de baixar e executar código arbitrário de um invasor. domínio controlado.

“Se você baixou ou executou esta ferramenta, o [Google] TAG recomenda tomar precauções para garantir que seu sistema esteja em um estado limpo conhecido, provavelmente exigindo a reinstalação do sistema operacional”, aconselharam os pesquisadores.

O Google ainda não revelou qual software é afetado pela exploração do dia zero.

“A vulnerabilidade foi relatada ao fornecedor afetado e está em processo de correção. Uma vez corrigido, divulgaremos detalhes técnicos adicionais e análises das explorações envolvidas, de acordo com nossas políticas de divulgação”, acrescentaram .

Uma nova campanha

Uma campanha semelhante foi revelada em janeiro de 2021, quando agentes de ameaças, que se acredita serem apoiados pelo governo norte-coreano, criaram contas no Twitter, LinkedIn, Keybase e Telegram para contactar diretamente investigadores de segurança. (A Microsoft também detalhou essa campanha.)

Após estabelecerem confiança, eles compartilharam um link, pedindo aos pesquisadores que verificassem o conteúdo. Isso levaria à instalação de um serviço malicioso e de um backdoor beacon para o servidor C2 do agente da ameaça.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS