Microsoft acredita que hackers vinculados à DPRK usaram o Chrome de dia zero

No final de janeiro de 2021, o Threat Analysis Group do Google revelou que um grupo de hackers norte-coreanos tem como alvo pesquisadores de segurança online, especificamente procurando aqueles que trabalham com vulnerabilidades e explorações.

Agora, a Microsoft confirmou que também estava rastreando a equipe de hackers da RPDC, revelado em um relatório publicado recentemente.

Microsoft Tracking North Korean Hacking Group

Em um relatório postado no blog de Segurança da Microsoft , a Equipe de Inteligência de Ameaças da Microsoft detalha seu conhecimento sobre o grupo de hackers ligado à DPRK. A Microsoft rastreia o grupo de hackers como "ZINC", enquanto outros pesquisadores de segurança estão optando pelo nome mais conhecido de "Lazarus".

Relacionado: As gangues de crime cibernético organizado mais notórias

Os relatórios do Google e da Microsoft explicam que a campanha em andamento usa a mídia social para iniciar conversas normais com pesquisadores de segurança antes de enviar arquivos contendo uma porta dos fundos.

A equipe de hackers administra várias contas do Twitter (junto com LinkedIn, Telegram, Keybase, Discord e outras plataformas), que têm postado lentamente notícias de segurança legítimas, construindo uma reputação de fonte confiável. Depois de um período, as contas controladas pelo ator chegariam aos pesquisadores de segurança, fazendo-lhes perguntas específicas sobre suas pesquisas.

Se o pesquisador de segurança respondesse, o grupo de hackers tentaria mover a conversa para uma plataforma diferente, como Discord ou e-mails.

Depois que o novo método de comunicação é estabelecido, o agente da ameaça envia um projeto comprometido do Visual Studio, esperando que o pesquisador de segurança execute o código sem analisar o conteúdo.

Relacionado: O que é uma porta dos fundos e o que ela faz?

A equipe de hackers norte-coreanos fez um grande esforço para disfarçar o arquivo malicioso dentro do projeto Visual Studio, trocando um arquivo de banco de dados padrão por uma DLL maliciosa, junto com outros métodos de ofuscação.

De acordo com o relatório do Google sobre a campanha, o backdoor malicioso não é o único método de ataque.

Além de direcionar os usuários por meio de engenharia social, também observamos vários casos em que pesquisadores foram comprometidos após visitar o blog dos atores. Em cada um desses casos, os pesquisadores seguiram um link no Twitter para um artigo hospedado no blog.br0vvnn [.] Io e, logo em seguida, um serviço malicioso foi instalado no sistema do pesquisador e um backdoor na memória seria iniciado balizando para um comando de propriedade do ator e servidor de controle.

A Microsoft acredita que "uma exploração do navegador Chrome provavelmente estava hospedada no blog", embora isso ainda não tenha sido verificado por nenhuma das equipes de pesquisa. Além disso, a Microsoft e o Google acreditam que um exploit de dia zero foi usado para completar esse vetor de ataque.

Almejando pesquisadores de segurança

A ameaça imediata desse ataque é para os pesquisadores de segurança. A campanha tem como alvo específico pesquisadores de segurança envolvidos na detecção de ameaças e pesquisa de vulnerabilidades.

Como costumamos ver com ataques altamente direcionados dessa natureza, a ameaça ao público em geral permanece baixa. No entanto, manter o navegador e os programas antivírus atualizados é sempre uma boa ideia, pois não é clicar e seguir links aleatórios nas redes sociais.