Nord-Korea hackere siktet sikkerhetsselskaper

I sin første utgave av den nye Threat Horizons-rapporten Google, blant andre oppdagede cybertrusler, nevnte statssponsede nordkoreanske hackere som brukte en liten klar taktikk og utga seg for å være Samsung-rekrutterere. Trusselaktører ga falske jobbtilbud til ansatte i sørkoreanske sikkerhetsselskaper som selger anti-malware-programvare.

Disse falske e-postene, bortsett fra teksten i selve meldingen, inneholdt et PDF-vedlegg. Hackere har imidlertid misformet PDF-ene slik at de ikke åpnet i en standard PDF-leser. I tilfelle det potensielle offeret vil klage over at filen ikke åpnes, hackere ville også gi dem en angivelig "Secure PDF Reader"-app. Linken omdirigerte de intetanende til en fil, endret versjon av PDFTron. Hackere endret spesifikt denne pdf-leseren for å installere en bakdørstrojaner på offerets datamaskiner.

Kodenavnet "Sink", den samme gruppen utførte tidligere angrep på sikkerhetsforskere

Google Threat Analysis Group tror det er den samme hackergruppen som tidligere målrettet mot forskjellige sikkerhetsforskere, hovedsakelig på Twitter og andre sosiale nettverk sent. 2020 og gjennomgående 2021. Identifisert av Google under kodenavnet "Zinc" overrasket de cybersikkerhetsspesialistene med sin taktikk. I følge den samme rapporten er det ikke første gang trusselaktører bruker en misformet pdf-leser. I fjor prøvde hackere å bruke den endrede versjonen av SumatraPDF for å dekryptere og slippe et implantat. De la også til legitim PE som var innebygd i seeren selv. Spesialister på nettsikkerhet bemerker at de nylig så andre trusselgrupper som brukte en lik teknikk for å levere en ondsinnet PDF-leser for å se misformede PDF-er.

Rapporten baserer seg på trusseletterretningsdataene fra Trusselanalysegruppen, Google Cloud Threat Intelligence for Chronicle, Tillit og sikkerhet, og andre interne team. Google planlegger de andre fremtidige trusselintelligensrapportene som vil dekke trendsporing, trusselhorisontskanning og tidlig varsling om nye trusler som krever umiddelbar handling.

Nord-Korea hackere forsøkte å målrette sørkoreanske sikkerhetsselskaper
New York Times skrev en gang en interessant artikkel om nordkoreansk cybermakt

Foruten den nordkoreanske hackergruppen, den første utgaven av Trusselhorisonter rapporterer også om BlackMatter tegn på aktivitet, svindlere som bruker ny TTP for å misbruke skyressurser og den russiske trusselgruppen APT28 Fancy Bear lanserer Gmail phishing-kampanje. Rapporten tok opp det oppdagede faktum om kompromitterte Google Cloud-forekomster som trusselaktører brukte til utvinning av kryptovaluta, også. For hvert tilfelle ga TAG mulige risikoreduserende løsninger for Google-kundene.

Første utgave av Googles Threat Horizons dekker betydelige mengder data

For hver utnyttet sårbarhet gir Threat Horizons prosentandelen av forekomster som er følgende:

  • Lekket legitimasjon (4%);
  • Feilkonfigurering av Cloud-forekomst eller i tredjepartsprogramvare (12%);
  • Andre uspesifiserte problemer (12%);
  • Sårbarhet i tredjepartsprogramvare i Cloud-forekomsten som ble utnyttet (26%);
  • Svak eller ikke passord for brukerkonto eller ingen autentisering for APIer.
  • I de fleste tilfeller, trusselaktører prøvde å pumpe trafikk til Youtube og oppnå profitt fra gruvedrift av kryptovaluta. For de resulterende handlingene etter kompromiss er prosentandelen neste:

  • Send spam (2%);
  • Start DDoS-bot (2%);
  • Host uautorisert innhold på Internett (4%);
  • Vert malware (6%);
  • Sett i gang angrep mot andre mål på internett (8%);
  • Gjennomfør portskanning av andre mål på internett (10%);
  • Utføre gruvedrift av kryptovaluta (86%).
  • TAG bemerket også at summene ikke går opp til 100% ettersom noen kompromitterte tilfeller ble brukt til å utføre flere ondsinnede aktiviteter.

    Om Andrew Nail

    Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.

    Sjekk også

    Svindlere oppretter domener for handel med aksjer og kryptovalutaer

    Investeringsdomener for handel med falske aksjer og kryptovalutaer

    I begynnelsen av 2021 experts from the CERT-GIB center saw a significant rise in

    topp 10 de mest populære svindel av 2021

    topp 10 den mest populære phishing-svindel av 2021

    The analytics from Positive Technologies recently published a report where they discussed the most common

    Legg igjen et svar