Nordkorea-Hacker haben Sicherheitsunternehmen ins Visier genommen

In seiner ersten Ausgabe des neuen Threat Horizons-Berichts Google, unter anderen erkannten Cyber-Bedrohungen, erwähnte staatlich gesponserte nordkoreanische Hacker, die eine einfache Taktik anwendeten und vorgaben, Samsung-Recruiter zu sein. Bedrohungsakteure haben Mitarbeitern südkoreanischer Sicherheitsunternehmen, die Anti-Malware-Software verkaufen, gefälschte Jobangebote gemacht.

Diese gefälschten E-Mails enthielten neben dem Text der Nachricht selbst einen PDF-Anhang. Hacker haben die PDFs jedoch falsch formatiert, sodass sie nicht in einem Standard-PDF-Reader geöffnet werden konnten. Falls sich das potenzielle Opfer beschwert, dass die Datei nicht geöffnet wird, Hacker würden ihnen auch eine angeblich „sichere PDF-Reader“-App zur Verfügung stellen. Der Link leitete die Ahnungslosen zu einer Datei um, modifizierte Version von PDFTron. Hacker haben diesen PDF-Reader speziell geändert, um einen Backdoor-Trojaner auf den Computern des Opfers zu installieren.

Codename „Zink“, dieselbe Gruppe führte frühere Angriffe auf Sicherheitsforscher durch

Die Google Threat Analysis Group glaubt, dass es sich um dieselbe Hackergruppe handelt, die früher verschiedene Sicherheitsforscher hauptsächlich auf Twitter und anderen sozialen Netzwerken ins Visier genommen hat 2020 und überall 2021. Von Google unter dem Codenamen „Zinc“ identifiziert, überraschten sie die Cyber-Security-Spezialisten mit ihrer Taktik ziemlich. Dem gleichen Bericht zufolge ist es nicht das erste Mal, dass Bedrohungsakteure einen fehlerhaften PDF-Reader verwenden. Letztes Jahr versuchten Hacker, die geänderte Version von SumatraPDF zu verwenden, um ein Implantat zu entschlüsseln und fallen zu lassen. Sie fügten auch legitime PE hinzu, die in den Viewer selbst eingebettet waren. Cyber-Sicherheitsspezialisten stellen fest, dass sie kürzlich andere Bedrohungsgruppen gesehen haben, die eine ähnliche Technik zur Bereitstellung eines bösartigen PDF-Viewers verwendet haben, um fehlerhafte PDFs anzuzeigen.

Der Bericht basiert auf den Threat Intelligence-Daten der Threat Analysis Group, Google Cloud Threat Intelligence für Chronicle, Vertrauen und Sicherheit, und andere interne Teams. Google plant die anderen zukünftigen Threat Intelligence-Berichte, die die Trendverfolgung abdecken werden, Bedrohungshorizont-Scans und Frühwarnmeldungen zu neu auftretenden Bedrohungen, die sofortiges Handeln erfordern.

Nordkorea-Hacker versuchten, südkoreanische Sicherheitsunternehmen ins Visier zu nehmen
Die New York Times hat einmal einen interessanten Artikel über die nordkoreanische Cybermacht geschrieben

Neben der nordkoreanischen Hackergruppe, die erste ausgabe von Bedrohungshorizonte berichtet auch über BlackMatter-Aktivitätszeichen, Betrüger, die neues TTP verwenden, um Cloud-Ressourcen und die russische Bedrohungsgruppe APT28 zu missbrauchen Fancy Bear startet Gmail-Phishing-Kampagne. In dem Bericht wurde die Tatsache angesprochen, dass kompromittierte Google Cloud-Instanzen von Bedrohungsakteuren für das Mining von Kryptowährungen verwendet wurden, auch. Für jeden Fall lieferte TAG mögliche Lösungen zur Risikominderung für die Google-Kunden.

Erste Ausgabe von Googles Threat Horizons deckt erhebliche Datenmengen ab

Für jede ausgenutzte Schwachstelle stellt Threat Horizons den folgenden Prozentsatz der Instanzen bereit::

  • Durchgesickerte Zugangsdaten (4%);
  • Fehlkonfiguration der Cloud-Instanz oder in Software von Drittanbietern (12%);
  • Andere nicht näher bezeichnete Probleme (12%);
  • Schwachstelle in Software von Drittanbietern in der Cloud-Instanz, die ausgenutzt wurde (26%);
  • Schwach oder nein Passwort für Benutzerkonto oder keine Authentifizierung für APIs.
  • In den meisten Fällen, Bedrohungsakteure versuchten, Verkehr auf Youtube zu pumpen und Gewinne aus dem Kryptowährungs-Mining zu erzielen. Für die resultierenden Aktionen nach der Kompromittierung ist der Prozentsatz der nächste:

  • Spam senden (2%);
  • DDoS-Bot starten (2%);
  • Hosten Sie nicht autorisierte Inhalte im Internet (4%);
  • Host-Malware (6%);
  • Starten Sie Angriffe gegen andere Ziele im Internet (8%);
  • Führen Sie Port-Scans anderer Ziele im Internet durch (10%);
  • Führen Sie Kryptowährungs-Mining durch (86%).
  • TAG stellte auch fest, dass sich die Summen nicht zu addieren 100% da einige kompromittierte Instanzen verwendet wurden, um mehrere bösartige Aktivitäten auszuführen.

    Über Andrew Nail

    Cybersicherheitsjournalist aus Montreal, Kanada. Studium der Kommunikationswissenschaften an der Universite de Montreal. Ich war mir nicht sicher, ob ein Journalistenjob das ist, was ich in meinem Leben machen möchte, aber in Verbindung mit technischen Wissenschaften, genau das mache ich gerne. Meine Aufgabe ist es, die aktuellsten Trends in der Welt der Cybersicherheit zu erfassen und Menschen dabei zu helfen, mit Malware umzugehen, die sie auf ihren PCs haben.

    überprüfen Sie auch

    Lass die Facebook Pixel Hunt beginnen

    Lass die Facebook Pixel Hunt beginnen

    Mozilla, ein Browser-Hersteller, kündigte kürzlich seine Zusammenarbeit mit einem gemeinnützigen Newsroom Markup an. Das Kollektiv …

    Fix für Microsoft Exchange 2022 Jahr Fehler

    Fix für Microsoft Exchange 2022 Jahr Fehler

    Microsoft hat einen Fix für den Exchange-Fehler veröffentlicht, der die E-Mail-Zustellung auf dem lokalen Microsoft-Standort störte …

    Hinterlasse eine Antwort