Hackers da Coreia do Norte visaram empresas de segurança

Em sua primeira edição do novo relatório Threat Horizons, o Google, entre outras ameaças cibernéticas detectadas, mencionou hackers norte-coreanos patrocinados pelo estado que empregaram uma pequena tática simples fingindo ser recrutadores da Samsung. Atores de ameaças fizeram ofertas de emprego falsas para funcionários de empresas de segurança sul-coreanas que vendem software anti-malware.

Esses e-mails falsos, além do texto da própria mensagem, continham um anexo em PDF. No entanto, os hackers malformaram os PDFs para que não abrissem em um leitor de PDF padrão. No caso de a vítima potencial reclamar que o arquivo não abre, os hackers também forneceriam a eles um aplicativo supostamente “Secure PDF Reader”. O link redirecionou os desavisados ​​para um arquivo, versão modificada de PDFTron. Os hackers alteraram especificamente este leitor de pdf para instalar um trojan backdoor nos computadores da vítima.

Codinome “Zinco”, o mesmo grupo conduziu ataques anteriores a pesquisadores de segurança

O Grupo de Análise de Ameaças do Google pensa que é o mesmo grupo de hackers que antes tinha como alvo diferentes pesquisadores de segurança, principalmente no Twitter e outras redes sociais tarde 2020 e por toda parte 2021. Identificados pelo Google sob o codinome “Zinco”, eles surpreenderam bastante os especialistas em segurança cibernética com suas táticas. De acordo com o mesmo relatório, não é a primeira vez que os agentes de ameaças usam um leitor de PDF malformado. No ano passado, hackers tentaram usar a versão alterada do SumatraPDF para descriptografar e soltar um implante. Eles também adicionaram PE legítimo que foram incorporados ao próprio visualizador. Especialistas em segurança cibernética observam que viram recentemente outros grupos de ameaças usando uma técnica semelhante de entrega de um visualizador de PDF malicioso para visualizar PDFs malformados.

O relatório se baseia nos dados de inteligência de ameaças do Threat Analysis Group, Google Cloud Threat Intelligence para Chronicle, Confiança e segurança, e outras equipes internas. O Google planeja os outros relatórios de inteligência de ameaças futuras que cobrirão o rastreamento de tendências, varredura do horizonte de ameaças e anúncios de alerta precoce sobre ameaças emergentes que exigem ação imediata.

Hackers da Coreia do Norte tentaram atingir empresas de segurança sul-coreanas
O New York Times escreveu uma vez um artigo interessante sobre o poder cibernético na Coréia do Norte

Além do grupo de hackers norte-coreano, a primeira edição de Horizontes de Ameaça relatórios também sobre sinais de atividade do BlackMatter, fraudadores que usam o novo TTP para abusar dos recursos da nuvem e o grupo de ameaças russo APT28 Fancy Bear lançando campanha de phishing no Gmail. O relatório trouxe à tona o fato detectado de instâncias comprometidas do Google Cloud que os agentes de ameaças usaram para mineração de criptomoedas, também. Para cada caso, a TAG forneceu possíveis soluções de mitigação de risco para os clientes do Google.

A primeira edição do Threat Horizons do Google cobre uma quantidade significativa de dados

Para cada vulnerabilidade explorada, o Threat Horizons fornece a porcentagem de instâncias que são as seguintes:

  • Vazamento de credenciais (4%);
  • Configuração incorreta da instância da nuvem ou em software de terceiros (12%);
  • Outros problemas não especificados (12%);
  • Vulnerabilidade em software de terceiros na instância da nuvem que foi explorada (26%);
  • Fraco ou não senha para conta de usuário ou sem autenticação para APIs.
  • Na maioria dos casos, os atores da ameaça tentaram bombear tráfego para o Youtube e obter lucro com a mineração de criptomoedas. Para as ações resultantes após o acordo, a porcentagem é a próxima:

  • Enviar spam (2%);
  • Lançar bot DDoS (2%);
  • Hospedar conteúdo não autorizado na Internet (4%);
  • Malware de host (6%);
  • Lançar ataques contra outros alvos na internet (8%);
  • Realizar varredura de portas de outros alvos na Internet (10%);
  • Realizar mineração de criptomoedas (86%).
  • TAG também observou que os totais não somam 100% já que algumas instâncias comprometidas foram usadas para realizar várias atividades maliciosas.

    Sobre Andrew Nail

    Jornalista de segurança cibernética de Montreal, Canadá. Estudou ciências da comunicação na Universite de Montreal. Eu não tinha certeza se um trabalho de jornalista é o que eu quero fazer na minha vida, mas em conjunto com as ciências técnicas, é exatamente o que eu gosto de fazer. Meu trabalho é identificar as tendências mais atuais no mundo da segurança cibernética e ajudar as pessoas a lidar com o malware que têm em seus PCs.

    Além disso, verifique

    Que comece a caça aos pixels do Facebook

    Que comece a caça aos pixels do Facebook

    Mozilla, um criador de navegador, anunciou recentemente sua colaboração com uma redação sem fins lucrativos Markup. O coletivo …

    Correção para Microsoft Exchange 2022 bug do ano

    Correção para Microsoft Exchange 2022 bug do ano

    A Microsoft lançou uma correção para o bug do Exchange que atrapalhava a entrega de e-mail no local Microsoft …

    Deixe uma resposta