Сотрудники Google Threat Analysis Group утверждают, что поддерживаемые правительством хакеры из Северной Кореи нацелились на отдельных исследователей в сфере безопасности. Для совершения атак они используют различные средства, включая «новый метод социальной инженерии». Сообщается, что данная кампания продолжается уже несколько месяцев. Она вызывает тревогу тем фактом, что в ней используются незащищённые уязвимости ОС Windows 10 и браузера Chrome.
Хотя Google не сообщает точно, какова цель хакерской кампании, она отмечает, что цели работают над исследованием уязвимостей. Это говорит о том, что злоумышленники могут пытаться узнать больше о неизвестных общественности уязвимостях. Полученные знания в дальнейшем они могут использовать для совершения будущих атак, спонсируемых государством.
По данным Google, хакеры создали блог о кибербезопасности и серию учётных записей в Twitter, явно пытаясь создать и укрепить доверие, взаимодействуя с потенциальными целями. Блог был посвящен описанию уязвимостей, сведения о которых уже были общедоступными. Между тем в аккаунтах Twitter были размещены ссылки на блог, а также другие предполагаемые эксплойты. По данным Google, по крайней мере, один из предполагаемых эксплойтов был подделан. В компании выявили несколько случаев заражения компьютеров исследователей при простом посещении блога хакеров, даже при использовании последних версий Windows 10 и Chrome.
Описанный командой Google Threat Analysis Group метод социальной инженерии подразумевал обращение к исследователям в области безопасности и предложение совместной работы над их проектами. Однако, как только они соглашались, хакеры отправляли проект Visual Studio, содержащий вредоносное ПО, которое заражало компьютер цели и начинало связываться с сервером злоумышленников.
Для связи с потенциальными целями злоумышленники использовали ряд различных платформ, включая Telegram, LinkedIn и Discord. Компания Google перечислила в своём блоге конкретные учётные записи хакеров. Отмечается, что любой, кто взаимодействовал с этими учётными записями, должен просканировать свои системы на наличие признаков заражении и компрометирования. Кроме того, таким лицам рекомендуется перенести свою исследовательскую деятельность на отдельный компьютер, отделённый от повседневного использования.
Источник: The Verge