不讲武德 | 朝鲜黑客打着安全研究的旗号社工安全研究人员




《伊索寓言》中,有一个“披着羊皮的狼”的故事。一只狼为了随心所欲地吃羊,披上了羊皮混进了羊圈。不过假的终究是假的,牧羊人最终还是发现了这只恶狼……


时至今日,这样的故事还在上演。本周一,谷歌威胁分析小组发布博客称,他们发现了一个从 2020 年下半年持续至今的攻击活动。这个攻击的目标主要是各大公司、组织中从事漏洞研究和分析的安全研究员。



谷歌认为,这是一种典型的社会工程学攻击,背后的攻击者来自朝鲜,他们利用Twitter、LinkedIn、Telegram、Discord、Keybase等各种社交网络发布漏洞分析文章,冒充专业安全研究人员去联系安全从业者,诱导目标参与漏洞研究项目,进而分发恶意代码。这个过程当中还用到了电子邮件。


具体攻击过程分为几个阶段。在初期,攻击者建立了几个推特账号,并用这些账号发布漏洞利用视频,在账号资料里添加他们的博客地址。



账号关联的博客经常发布已公开披露的漏洞分析文章。还有一些不知情的安全研究员投稿。而几个不同的推特账号之间还互相转发,增加真实性和活跃度。所有的这一切,都是为了赢得其他安全研究人员的信任。也就是说,他们先给自己披上了一层皮。



在初期批皮阶段,攻击者已经开始利用社工手段获取目标安全研究员的信息。随后,他们会与目标人物私下沟通,邀请后者一起研究漏洞,并发送包含真实漏洞 POC 的 Visual Studio 项目。这表面上看是为了分享漏洞研究成果,但实际上如果目标人物编译了这个项目,在编译过程中就会执行攻击者植入的另一个恶意DLL,系统会受到感染并直接与攻击者的C2服务器通信。

编译过程中触发的恶意命令片段


此外,他们还诱导目标研究人员访问 blog.br0vvnn[.]io 博客地址,发起攻击。尽管有些研究人员使用的是最新版 Windows 10 和 Chrome,还是在访问博客后感染了恶意代码。谷歌认为,可能是攻击者综合利用了 Chrome 和 Windows 10 的 0-day 漏洞发起的攻击。


看到这儿,PWN 君直呼好家伙。幸好谷歌发现并披露了这个攻击。伤害性高不高先不说,但侮辱性是真的强。真有这么高的技术的话,好好挖洞做研究他不香吗?难道这些漏洞分析文章或视频不是真实的?



谷歌的研究人员表示,虽然无法验证这些视频中漏洞分析和利用的真实情况,不过可以肯定的是,至少有一个视频是造假的。1 月 14 号那天,攻击者在 Twitter 上分享了一个视频,声称他们能利用 Windows Defender 近期修复的一个漏洞(CVE-2021-1647)。在视频中,他们声称成功构造了漏洞利用程序cmd.exe shell。但仔细分析发现这个利用是不存在的,视频下的多条评论也发出了质疑。随后,攻击者开始使用其他Twitter帐号转发原帖,为自己洗地。也就是说,如果仔细观察的话,攻击者还是有破绽的。但是因为前期批了皮,让很多人忽视了这些细节。




就在谷歌发布研究结果后,攻击者的推特账号已经封禁了。微博上有几位资深安全专家都说自己收到了私信。



还有某大佬发推调侃:

“为啥说我是个菜鸡?

因为他们都没把我当攻击目标🙃”





不过,调侃归调侃,PWN 君还是想提醒大家,在日常研究和社交媒体互动中,都要提高警惕,多多保重。


注:谷歌研究发现目前攻击只针对 Windows 系统,所以使用 Windows 系统的小伙伴们尽快参考谷歌列出的地址,排查一遍,看看自己是否曾经访问过这些博客或者推特账号。因为就算没私信,点击他们的博客地址、访问博客也可能中招

博客地址:

  • https://blog.br0vvnn[.]io

Twitter账号:

  • https://twitter.com/br0vvnn

  • https://twitter.com/BrownSec3Labs

  • https://twitter.com/dev0exp

  • https://twitter.com/djokovic808

  • https://twitter.com/henya290 

  • https://twitter.com/james0x40

  • https://twitter.com/m5t0r

  • https://twitter.com/mvp4p3r

  • https://twitter.com/tjrim91

  • https://twitter.com/z0x55g

领英账号:

  • https://www.linkedin.com/in/billy-brown-a6678b1b8/

  • https://www.linkedin.com/in/guo-zhang-b152721bb/

  • https://www.linkedin.com/in/hyungwoo-lee-6985501b9/

  • https://www.linkedin.com/in/linshuang-li-aa696391bb/

  • https://www.linkedin.com/in/rimmer-trajan-2806b21bb/

Keybase:

  • https://keybase.io/zhangguo

Telegram

  • https://t.me/james50d

样本 hash:

  • https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection (VS Project DLL)

  • https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection (VS Project DLL)

  • https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection (VS Project Dropped DLL)

  • https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection (VS Project Dropped DLL)

  • https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection (Service DLL)

攻击者的域名:

  • angeldonationblog[.]com

  • codevexillium[.]org

  • investbooking[.]de

  • krakenfolio[.]com

  • opsonew3org[.]sg

  • transferwiser[.]io

  • transplugin[.]io

攻击者入侵并控制的域名:

  • trophylab[.]com

  • www.colasprint[.]com

  • www.dronerc[.]it

  • www.edujikim[.]com

  • www.fabioluciani[.]com

C2 URL:

  • https[:]//angeldonationblog[.]com/image/upload/upload.php

  • https[:]//codevexillium[.]org/image/download/download.asp

  • https[:]//investbooking[.]de/upload/upload.asp

  • https[:]//transplugin[.]io/upload/upload.asp

  • https[:]//www.dronerc[.]it/forum/uploads/index.php

  • https[:]//www.dronerc[.]it/shop_testbr/Core/upload.php

  • https[:]//www.dronerc[.]it/shop_testbr/upload/upload.php

  • https[:]//www.edujikim[.]com/intro/blue/insert.asp

  • https[:]//www.fabioluciani[.]com/es/include/include.asp

  • http[:]//trophylab[.]com/notice/images/renewal/upload.asp

  • http[:]//www.colasprint[.]com/_vti_log/upload.asp

Host IOC:

  • Registry Keys

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverConfig

    • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSL Update 

  • 文件路径:

    • C:\Windows\System32\Nwsapagent.sys

    • C:\Windows\System32\helpsvc.sys

    • C:\ProgramData\USOShared\uso.bin

    • C:\ProgramData\VMware\vmnat-update.bin

    • C:\ProgramData\VirtualBox\update.bin



参考链接:

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

https://www.zdnet.com/article/google-north-korean-hackers-have-targeted-security-researchers-via-social-media/


本期话题


1. 你还知道哪些类似的攻击?

2. 你通常在什么时候、什么渠道看到 GeekPwn 的推文?

欢迎留言跟 PWN 君聊聊🤖️🤖️🤖️





GeekPwn 开通视频号了!

一键关注,离安全更近一点


点分享

点收藏

点点赞

点在看


免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐