In seiner ersten Ausgabe des neuen Threat Horizons-Berichts Google, unter anderen erkannten Cyber-Bedrohungen, erwähnte staatlich gesponserte nordkoreanische Hacker, die eine einfache Taktik anwendeten und vorgaben, Samsung-Recruiter zu sein. Bedrohungsakteure haben Mitarbeitern südkoreanischer Sicherheitsunternehmen, die Anti-Malware-Software verkaufen, gefälschte Jobangebote gemacht.
Diese gefälschten E-Mails enthielten neben dem Text der Nachricht selbst einen PDF-Anhang. Hacker haben die PDFs jedoch falsch formatiert, sodass sie nicht in einem Standard-PDF-Reader geöffnet werden konnten. Falls sich das potenzielle Opfer beschwert, dass die Datei nicht geöffnet wird, Hacker würden ihnen auch eine angeblich „sichere PDF-Reader“-App zur Verfügung stellen. Der Link leitete die Ahnungslosen zu einer Datei um, modifizierte Version von PDFTron. Hacker haben diesen PDF-Reader speziell geändert, um einen Backdoor-Trojaner auf den Computern des Opfers zu installieren.
Codename „Zink“, dieselbe Gruppe führte frühere Angriffe auf Sicherheitsforscher durch
Die Google Threat Analysis Group glaubt, dass es sich um dieselbe Hackergruppe handelt, die früher verschiedene Sicherheitsforscher hauptsächlich auf Twitter und anderen sozialen Netzwerken ins Visier genommen hat 2020 und überall 2021. Von Google unter dem Codenamen „Zinc“ identifiziert, überraschten sie die Cyber-Security-Spezialisten mit ihrer Taktik ziemlich. Dem gleichen Bericht zufolge ist es nicht das erste Mal, dass Bedrohungsakteure einen fehlerhaften PDF-Reader verwenden. Letztes Jahr versuchten Hacker, die geänderte Version von SumatraPDF zu verwenden, um ein Implantat zu entschlüsseln und fallen zu lassen. Sie fügten auch legitime PE hinzu, die in den Viewer selbst eingebettet waren. Cyber-Sicherheitsspezialisten stellen fest, dass sie kürzlich andere Bedrohungsgruppen gesehen haben, die eine ähnliche Technik zur Bereitstellung eines bösartigen PDF-Viewers verwendet haben, um fehlerhafte PDFs anzuzeigen.
Der Bericht basiert auf den Threat Intelligence-Daten der Threat Analysis Group, Google Cloud Threat Intelligence für Chronicle, Vertrauen und Sicherheit, und andere interne Teams. Google plant die anderen zukünftigen Threat Intelligence-Berichte, die die Trendverfolgung abdecken werden, Bedrohungshorizont-Scans und Frühwarnmeldungen zu neu auftretenden Bedrohungen, die sofortiges Handeln erfordern.
Neben der nordkoreanischen Hackergruppe, die erste ausgabe von Bedrohungshorizonte berichtet auch über BlackMatter-Aktivitätszeichen, Betrüger, die neues TTP verwenden, um Cloud-Ressourcen und die russische Bedrohungsgruppe APT28 zu missbrauchen Fancy Bear startet Gmail-Phishing-Kampagne. In dem Bericht wurde die Tatsache angesprochen, dass kompromittierte Google Cloud-Instanzen von Bedrohungsakteuren für das Mining von Kryptowährungen verwendet wurden, auch. Für jeden Fall lieferte TAG mögliche Lösungen zur Risikominderung für die Google-Kunden.
Erste Ausgabe von Googles Threat Horizons deckt erhebliche Datenmengen ab
Für jede ausgenutzte Schwachstelle stellt Threat Horizons den folgenden Prozentsatz der Instanzen bereit::
In den meisten Fällen, Bedrohungsakteure versuchten, Verkehr auf Youtube zu pumpen und Gewinne aus dem Kryptowährungs-Mining zu erzielen. Für die resultierenden Aktionen nach der Kompromittierung ist der Prozentsatz der nächste:
TAG stellte auch fest, dass sich die Summen nicht zu addieren 100% da einige kompromittierte Instanzen verwendet wurden, um mehrere bösartige Aktivitäten auszuführen.
