In de eerste editie van het nieuwe Threat Horizons-rapport Google, onder andere gedetecteerde cyberdreigingen, noemde door de staat gesponsorde Noord-Koreaanse hackers die een beetje eenvoudige tactiek gebruikten om zich voor te doen als Samsung-recruiters. Bedreigingsactoren hebben nep-baanaanbiedingen gedaan aan werknemers van Zuid-Koreaanse beveiligingsbedrijven die anti-malwaresoftware verkopen.
Die nep-e-mails, afgezien van de tekst van het bericht zelf, bevatten een PDF-bijlage. Hackers hebben de pdf's echter verkeerd ingedeeld, zodat ze niet in een standaard pdf-lezer konden worden geopend. In het geval dat het potentiële slachtoffer zal klagen dat het bestand niet opent, hackers zouden hen ook een zogenaamd "Secure PDF Reader"-app geven. De link leidde de nietsvermoedende om naar een bestand, gewijzigde versie van PDFTron. Hackers hebben deze pdf-reader specifiek aangepast om een backdoor-trojan op de computers van het slachtoffer te installeren.
Codenaam "Zink", dezelfde groep voerde eerdere aanvallen uit op beveiligingsonderzoekers
De Google Threat Analysis Group denkt dat het dezelfde hackersgroep is die zich eerder op verschillende beveiligingsonderzoekers richtte, voornamelijk op Twitter en andere sociale netwerken. 2020 en overal 2021. Geïdentificeerd door Google onder de codenaam "Zink" verrasten ze de cyberbeveiligingsspecialisten behoorlijk met hun tactiek. Volgens hetzelfde rapport is het niet de eerste keer dat dreigingsactoren een misvormde pdf-reader gebruiken. Vorig jaar probeerden hackers de gewijzigde versie van SumatraPDF te gebruiken om een implantaat te decoderen en te laten vallen. Ze voegden ook legitieme PE toe die in de kijker zelf was ingebed. Cyberbeveiligingsspecialisten merken op dat ze onlangs andere dreigingsgroepen zagen die een soortgelijke techniek gebruikten om een kwaadaardige PDF-viewer te leveren om misvormde PDF's te bekijken.
Het rapport baseert zich op de bedreigingsinformatiegegevens van de Threat Analysis Group, Google Cloud Threat Intelligence voor Chronicle, Vertrouwen en veiligheid, en andere interne teams. Google plant de andere toekomstige rapporten over bedreigingsinformatie die betrekking hebben op het volgen van trends, dreigingshorizonscanning en Early Warning-aankondigingen over opkomende dreigingen die onmiddellijke actie vereisen.
Naast de Noord-Koreaanse hackersgroep, de eerste editie van Bedreigingshorizons rapporteert ook over tekenen van activiteit van BlackMatter, fraudeurs die nieuwe TTP gebruiken om Cloud-bronnen te misbruiken en de Russische dreigingsgroep APT28 Fancy Bear lanceert Gmail-phishing-campagne. Het rapport bracht het gedetecteerde feit aan de orde van gecompromitteerde Google Cloud-instanties die bedreigingsactoren gebruikten voor cryptocurrency-mining, te. Voor elk geval bood TAG mogelijke risicobeperkende oplossingen voor de Google-klanten.
Eerste editie van Google's Threat Horizons omvat een aanzienlijke hoeveelheid gegevens
Voor elke misbruikte kwetsbaarheid biedt Threat Horizons het volgende percentage instanties::
In de meeste gevallen, dreigingsactoren probeerden verkeer naar YouTube te pompen en winst te behalen uit cryptocurrency-mining. Voor de resulterende acties na compromis is het percentage de volgende:
TAG merkte ook op dat de totalen niet optellen tot 100% omdat sommige gecompromitteerde instanties werden gebruikt om meerdere kwaadaardige activiteiten uit te voeren.
