[[379923]]

1月25日，谷歌Threat Analysis Group研究人員發布報告分析了使用社交網絡來攻擊安全人員，并用定制的后門惡意軟件來感染安全研究人員計算機的朝鮮黑客組織。

攻擊活動概述

過去幾個月，谷歌Threat Analysis Group研究人員發現了一個攻擊不同企業和組織的進行漏洞研究和研發的安全研究人員的攻擊活動。研究人員分析發現該攻擊活動背后的攻擊者是朝鮮的政府背景的黑客。

為了確保真實性以及與安全研究人員進行聯系，黑客開通了一個研究博客和多個推特賬戶。黑客使用推特賬戶來發布其博客的鏈接，發布所謂的漏洞利用視頻，并轉發他們控制的其他賬戶發布的推特。

黑客控制的4個推特賬戶@z0x55g、@james0x40、@br0vvnn和 @BrownSec3Labs 如下所示：

其博客中含有之前公布的漏洞分析和writer-up，其中還包含一些不知情的合法安全研究人員的研究成果(博文，非授權轉載)，可能是嘗試與其他安全研究人員建立信任。

博客中關于漏洞分析的截圖如下所示：

 

 

研究人員也無法驗證這些漏洞利用視頻的真實性以及目前的狀態，但是研究人員發現其中有偽造的視頻。比如1月21日，攻擊者在推特上分析了一個YouTube視頻，稱成功利用了CVE-2021-1647 漏洞。在視頻中，攻擊者成功利用該漏洞派生出了一個cmd.exe shell，但研究人員仔細檢查發現該漏洞利用(視頻)是假的。YouTube視頻下有許多評論稱該視頻是假的，而且并沒有證明漏洞利用。然后，攻擊者又使用了另一個其控制的推特賬戶來轉發原始推特消息，并稱該視頻是真實的。

證明攻擊者漏洞利用成功性的推特如下所示：

攻擊安全研究人員

在該攻擊活動中，攻擊者使用了新型的社會工程方法來攻擊特定的安全研究人員。在建立了初始溝通后，攻擊者會詢問目標研究人員(受害者)是否想一起進行漏洞研究，然后提供給受害者一個Visual Studio Project。該project是漏洞利用的源代碼，以及一個通過Visual Studio Build Events 執行的DLL。該DLL其實是一個定制的惡意軟件，會與攻擊者控制的C2進行通信。VS Build Event示例如下所示：

除了通過社會成功攻擊定向攻擊用戶外，研究人員還發現又多個訪問攻擊者博客就被黑的案例。在這些案例中，受害者訪問了推特上發布的位于blog.br0vvnn[.]io 的writeup 鏈接，然后，受害者系統就會被安裝惡意服務，內存中運行的后門就會與攻擊者控制的C2 服務器進行通信。其中受害者系統運行著最新的Windows 10系統版本和Chrome 瀏覽器版本。目前，谷歌研究人員還無法確認黑客入侵的機制。

在攻擊活動中，研究人員使用多個平臺與潛在的受害者進行通信，包括推特、領英、Telegram、Discord、Keybase和郵件。截至目前，研究人員發現攻擊活動中的受害者系統只有Windows 系統。

黑客控制的網站和賬戶

研究博客：

https://blog.br0vvnn[.]io

推特賬戶：

https://twitter.com/br0vvnn

https://twitter.com/BrownSec3Labs

https://twitter.com/dev0exp

https://twitter.com/djokovic808

https://twitter.com/henya290

https://twitter.com/james0x40

https://twitter.com/m5t0r

https://twitter.com/mvp4p3r

https://twitter.com/tjrim91

https://twitter.com/z0x55g

領英賬號：

https://www.linkedin.com/in/billy-brown-a6678b1b8/

https://www.linkedin.com/in/guo-zhang-b152721bb/

https://www.linkedin.com/in/hyungwoo-lee-6985501b9/

https://www.linkedin.com/in/linshuang-li-aa696391bb/

https://www.linkedin.com/in/rimmer-trajan-2806b21bb/

本文翻譯自：https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/如若轉載，請注明原文地址。