I sin første udgave af den nye Threat Horizons-rapport Google, blandt andre opdagede cybertrusler, nævnte statssponsorerede nordkoreanske hackere, der brugte en lille almindelig taktik og udgav sig for at være Samsung-rekrutterere. Trusselskuespillere fremsatte falske jobtilbud til ansatte hos sydkoreanske sikkerhedsfirmaer, som sælger anti-malware-software.
Disse falske e-mails, bortset fra teksten i selve beskeden, indeholdt en PDF-vedhæftet fil. Hackere misformede dog PDF'erne, så de ikke ville åbne i en standard PDF-læser. I tilfælde af at det potentielle offer vil klage over, at filen ikke åbnes, hackere ville også give dem en påstået "Secure PDF Reader"-app. Linket omdirigerede de intetanende til en fil, ændret version af PDFTron. Hackere ændrede specifikt denne pdf-læser for at installere en bagdørstrojan på ofrets computere.
Kodenavnet "Zink", samme gruppe udførte tidligere angreb på sikkerhedsforskere
Google Threat Analysis Group mener, at det er den samme hackergruppe, som tidligere målrettede forskellige sikkerhedsforskere hovedsageligt på Twitter og andre sociale netværk sent. 2020 og hele vejen igennem 2021. Identificeret af Google under kodenavnet "Zink" overraskede de cybersikkerhedsspecialisterne med deres taktik. Ifølge den samme rapport er det ikke første gang, trusselsaktører bruger en forkert udformet pdf-læser. Sidste år forsøgte hackere at bruge den ændrede version af SumatraPDF til at dekryptere og slippe et implantat. De tilføjede også legitim PE, der var indlejret i seeren selv. Cybersikkerhedsspecialister bemærker, at de for nylig så andre trusselsgrupper bruge en ens teknik til at levere en ondsindet PDF-fremviser til at se misdannede PDF'er.
Rapporten baserer sig på trusselsefterretningsdata fra Trusselsanalysegruppen, Google Cloud Threat Intelligence for Chronicle, Tillid og sikkerhed, og andre interne teams. Google planlægger de andre fremtidige trusselsintelligensrapporter, der vil dække trendsporing, trusselshorisontscanning og tidlige varslingsmeddelelser om nye trusler, der kræver øjeblikkelig handling.
Udover den nordkoreanske hackergruppe, første udgave af Trusselshorisonter rapporterer også om BlackMatter-tegn på aktivitet, svindlere, der bruger ny TTP til at misbruge cloud-ressourcer, og den russiske trusselgruppe APT28 Fancy Bear lancerer Gmail-phishing-kampagne. Rapporten bragte det opdagede faktum om kompromitterede Google Cloud-forekomster, som trusselsaktører brugte til cryptocurrency-mining, også. For hvert enkelt tilfælde leverede TAG mulige risikobegrænsende løsninger til Google-kunderne.
Første udgave af Googles Threat Horizons dækker en betydelig mængde data
For hver udnyttet sårbarhed angiver Threat Horizons procentdel af tilfælde, der er følgende:
I de fleste tilfælde, trussel aktører forsøgte at pumpe trafik til Youtube og opnå profit fra cryptocurrency minedrift. For de resulterende handlinger efter kompromis er procentdelen næste:
TAG bemærkede også, at totalerne ikke stemmer overens 100% da nogle kompromitterede tilfælde blev brugt til at udføre flere ondsindede aktiviteter.