Os agentes de ameaças norte-coreanos estão mais uma vez tentando comprometer as máquinas dos pesquisadores de segurança, empregando uma exploração de dia zero.
O alerta vem dos próprios pesquisadores de segurança do Google, Clement Lecigne e Maddie Stone, que detalharam a última campanha montada por invasores apoiados pelo governo.
Pesquisadores de segurança visados com zero-day
Os invasores inicialmente contataram os pesquisadores através das redes sociais (por exemplo, X, antigo Twitter, ou Mastodon) sob o pretexto de colaborar na pesquisa de segurança. Depois de transferirem a conversa para aplicativos de mensagens instantâneas criptografados de ponta a ponta (Signal, WhatsApp ou Wire) e estabelecerem confiança, eles entregariam um arquivo malicioso contendo uma exploração de dia zero.

Perfil X controlado pelo ator. (Fonte: Google)
“Após a exploração bem-sucedida, o shellcode realiza uma série de verificações de máquina antivirtual e, em seguida, envia as informações coletadas, juntamente com uma captura de tela, de volta para um domínio de comando e controle controlado pelo invasor”, disseram Lecigne e Stone.
Os invasores também tentaram outro truque: apontaram aos pesquisadores uma ferramenta do Windows (GetSymbol) que baixa símbolos de depuração de servidores de símbolos da Microsoft, Google, Mozilla e Citrix para engenheiros reversos, mas também é capaz de baixar e executar código arbitrário de um invasor. domínio controlado.
“Se você baixou ou executou esta ferramenta, o [Google] TAG recomenda tomar precauções para garantir que seu sistema esteja em um estado limpo conhecido, provavelmente exigindo a reinstalação do sistema operacional”, aconselharam os pesquisadores.
O Google ainda não revelou qual software é afetado pela exploração do dia zero.
“A vulnerabilidade foi relatada ao fornecedor afetado e está em processo de correção. Uma vez corrigido, divulgaremos detalhes técnicos adicionais e análises das explorações envolvidas, de acordo com nossas políticas de divulgação”, acrescentaram .
Uma nova campanha
Uma campanha semelhante foi revelada em janeiro de 2021, quando agentes de ameaças, que se acredita serem apoiados pelo governo norte-coreano, criaram contas no Twitter, LinkedIn, Keybase e Telegram para contactar diretamente investigadores de segurança. (A Microsoft também detalhou essa campanha.)
Após estabelecerem confiança, eles compartilharam um link, pedindo aos pesquisadores que verificassem o conteúdo. Isso levaria à instalação de um serviço malicioso e de um backdoor beacon para o servidor C2 do agente da ameaça.
FONTE: HELP NET SECURITY