Google旗下的威脅分析小組(Threat Analysis Group,TAG)近日提醒2021年時鎖定資安研究人員發動攻擊的北韓駭客組織,在兩年半後似乎又重施故技,利用社交平臺與零時差漏洞,再度針對資安研究人員展開攻擊。

TAG指出,駭客的手法與之前如出一轍,先是透過X(先前的Twitter)等社交網站與資安研究人員建立關係,藉由一起研究某些有共同利益的主題來培養交情,在經過幾個月的交流之後,駭客便會企圖將雙方的對話移至諸如Signal、WhatsApp或Wire等加密傳訊程式,繼之傳送一個含有惡意程式的檔案予目標對象。該惡意程式鎖定了一個熱門軟體的零時差漏洞。

成功入侵研究人員的系統之後,該惡意程式會先執行一系列的反虛擬機器檢查,以偵測受害者的環境,並採取必要行動來躲避偵測,繼之再將所蒐集的資訊及螢幕截圖回傳至駭客所控制的C&C伺服器上。該惡意程式所使用的Shellcode之構造與北韓駭客先前所使用的Shellcode非常類似。

Google並未揭露該熱門軟體的名稱,僅說已將相關研究轉交給軟體開發商,目前正在建置修補程式,TAG準備在修補程式出爐後再公開更多漏洞細節。

除了攻陷熱門軟體的零時差漏洞,北韓駭客也開發了一個Windows工具GetSymbol Project,宣稱可用來下載微軟、Google、Mozilla及Citrix符號伺服器上的除錯符號,以供反向工程師使用,並在2022年的9月上傳至GitHub。

GetSymbol Project理應是個非常有用的工具,可快速自不同的來源下載符號資訊,然而,TAG團隊卻發現它會自駭客的C&C伺服器上下載並執行任意程式,建議已下載的研究人員最好檢查一下自己的系統,或許需要重新安裝作業系統。

目前在GitHub已找不到GetSymbol Project,可能已被移除。

熱門新聞

Advertisement