【扮嘢之星】北韓黑客假帳戶放毒Link 企圖入侵網安研究員系統
Google 的威脅分析小組(Threat Analysis Group, TAG)披露,北韓政府的黑客組織向從事漏洞研究的網絡安全研究人員埋手,在不同的社交媒體中,包括 Twitter、LinkedIn、Telegram、Discord 和 Keybase 等,甚至還利用電子郵件,以多個不同的虛假身份,接觸這班網絡安全研究人員。他們先假裝有興趣一起進行漏洞研究,繼而發放包含惡意軟件的 Visual Studio 檔案,果然不是省油的燈。
Google TAG 的安全研究人員 Adam Weidemann 指出,這班北韓黑客在經過初步溝通後,便會詢問網絡安全研究人員,有否興趣一起從事研究,並發送 Visual Studio 檔案。這個實質為惡意軟件的檔案裏含有惡意代碼,並會成為供黑客作遙距攻擊及伺服器控制的後門。Weidemann 透露,這班攻擊者不一定以發送惡意軟件作為入侵手段,他們亦有機會邀請目標人物點擊他們博客的網址,而該博客置放了惡意代碼,在訪問該網站後,便會感染瀏覽網頁的網絡安全專家的電腦。
小組亦補充,很多到訪該網站的受害者,也在使用已完全修補漏洞及為最新版本的 Windows 10 和 Chrome 瀏覽器版本,但仍然受感染。由於目前對瀏覽器攻擊的細節資料仍很少,但有網絡安全研究人員認為,這批朝鮮黑客很大可能混合利用 Chrome 和 Windows 10 zero-day 的漏洞來部署惡意代碼。現時,Google TAG 小組正要求懷疑受感染的網絡安全研究人員,分享更多相關攻擊的詳細資料。
Google TAG 報告中包含一個列出屬於北韓黑客的社交媒體帳戶列表,並網絡安全研究人員翻看其瀏覽歷史,並查看他們是否與這些帳戶溝通,或是曾否造問了惡意的網站,如果確實有接觸過,他們很可能已經受感染,因此需要調查自己的系統。小組指出,網絡安全研究人員成為攻擊目標的原因非常明顯,因為北韓黑客組織可透過他們來竊取已發現漏洞的資料,而他們可利用這些漏洞部署在自己的攻擊。
事件揭發後,部分網絡安全研究人員在社交媒體上披露,他們有收過來自北韓攻擊者帳戶的信息,不過暫時沒有人表示自己的系統遭受破壞。
