Googles Threat Analysis Group (TAG), ein Google-Sicherheitsteam, das sich auf die Jagd auf Advanced Persistent Threat (APT)-Gruppen spezialisiert hat, teilte am Mittwoch mit, dass eine von der nordkoreanischen Regierung unterstützte Kampagne Cybersicherheitsforscher mit Malware über soziale Medien anspricht.
Für diejenigen, die nichts wissen, hatte die TAG im Januar 2021 Offengelegt eine Hacking-Kampagne, die sich an Sicherheitsforscher richtet, die an der Erforschung und Entwicklung von Schwachstellen in verschiedenen Organisationen arbeiten. Am 17. März richteten dieselben Akteure hinter diesen Angriffen eine neue Website für eine gefälschte Firma namens “SecuriElite” sowie die damit verbundenen Twitter- und LinkedIn-Konten ein.
Die neue Website behauptet, dass es sich um eine “offensive Sicherheitsfirma mit Sitz in der Türkei, die Pentests, Software-Sicherheitsbewertungen und Exploits bietet”.
Wie die Experten, diese Website hat einen Link zu ihrem PGP öffentlichen Schlüssel am unteren Rand der Seite wie die vorherigen Websites durch den Schauspieler eingerichtet. Der PGP-Schlüssel, der auf dem Blog des Angreifers gehostet wurde, diente als Lockmittel für ahnungslose Forscher im Januar Angriffe auf die Website zu besuchen, “wo ein Browser-Exploit wartete, ausgelöst zu werden”.
Die neueste Serie von Social-Media-Profilen des Angreifers setzt den Trend fort, sich als andere Sicherheitsforscher zu blamieren, die an Ausbeutung und anstößiger Sicherheit interessiert sind. Insgesamt hat Google acht Twitter-Konten und sieben LinkedIn-Profile identifiziert.
Die Bedrohungsakteure nutzten mehrere Plattformen, um mit potenziellen Zielen zu kommunizieren, einschließlich Twitter, LinkedIn, Telegramm, Discord, Keybase und E-Mail, um mit den Forschern zu kommunizieren und Vertrauen aufzubauen, nur um eine Windows-Hintertür über ein trojanisiertes Visual Studio-Projekt bereitzustellen.
Nach der Entdeckung meldete Google alle identifizierten Social-Media-Profile an die Plattformen, um ihnen zu ermöglichen, geeignete Maßnahmen zu ergreifen, nach denen alle von ihnen suspendiert wurden.
Die Konten schienen im Besitz von Schwachstellenforschern und Personal personaliösen Mitarbeitern verschiedener Sicherheitsfirmen zu sein, darunter Trend Macro (ein gefälschter Name, der von Trend Micro inspiriert wurde), während einige sich als Chief Executive Officer und Mitarbeiter des fiktiven türkischen Unternehmens ausgab.
Derzeit stellt die neue Angreifer-Website keine schädlichen Inhalte bereit, um Malware bereitzustellen. Google hat jedoch die URL der Website hinzugefügt, um Google Safebrowsing als Vorsichtsmaßnahme, um versehentliche Besuche der Benutzer zu verhindern.
Nach der Enthüllung der TAG im Januar 2021 haben Sicherheitsforscher der südkoreanischen Cybersicherheitsfirma ENKI erfolgreich Identifiziert diese Akteure verwenden einen Internet Explorer 0-Tage. Basierend auf ihrer Tätigkeit glauben DIE TAG-Forscher, dass diese Akteure gefährlich sind und wahrscheinlich mehr 0 Tage haben.
“Wir ermutigen jeden, der eine Chrome-Schwachstelle entdeckt, diese Aktivität über die Chrome- Vulnerabilities Rewards-Programm Einreichungsverfahren”, schloss Adam Weidemann von der TAG in dem Blogeintrag.
