北韓駭客再度鎖定資安研究人員展開攻擊

Google旗下的威脅分析小組（Threat Analysis Group，TAG）近日提醒，2021年時鎖定資安研究人員發動攻擊的北韓駭客組織，在兩年半後似乎又重施故技，利用社交平臺與零時差漏洞，再度針對資安研究人員展開攻擊。

TAG指出，駭客的手法與之前如出一轍，先是透過X（先前的Twitter）等社交網站與資安研究人員建立關係，藉由一起研究某些有共同利益的主題來培養交情，在經過幾個月的交流之後，駭客便會企圖將雙方的對話移至諸如Signal、WhatsApp或Wire等加密傳訊程式，繼之傳送一個含有惡意程式的檔案予目標對象。該惡意程式鎖定了一個熱門軟體的零時差漏洞。

成功入侵研究人員的系統之後，該惡意程式會先執行一系列的反虛擬機器檢查，以偵測受害者的環境，並採取必要行動來躲避偵測，繼之再將所蒐集的資訊及螢幕截圖回傳至駭客所控制的C&C伺服器上。該惡意程式所使用的Shellcode之構造與北韓駭客先前所使用的Shellcode非常類似。

Google並未揭露該熱門軟體的名稱，僅說已將相關研究轉交給軟體開發商，目前正在建置修補程式，TAG準備在修補程式出爐後再公開更多漏洞細節。

除了攻陷熱門軟體的零時差漏洞，北韓駭客也開發了一個Windows工具GetSymbol Project，宣稱可用來下載微軟、Google、Mozilla及Citrix符號伺服器上的除錯符號，以供反向工程師使用，並在2022年的9月上傳至GitHub。

GetSymbol Project理應是個非常有用的工具，可快速自不同的來源下載符號資訊，然而，TAG團隊卻發現它會自駭客的C&C伺服器上下載並執行任意程式，建議已下載的研究人員最好檢查一下自己的系統，或許需要重新安裝作業系統。

目前在GitHub已找不到GetSymbol Project，可能已被移除。