Microsoft отслеживает хакерскую группу ZINC

Microsoft_-headpic.jpg
Сегодня Microsoft сообщила, что они также в течение нескольких месяцев наблюдали за целевыми атаками на исследователей уязвимостей и приписали эти атаки группе из КНДР под названием «Zinc».
Ранее на этой неделе Google сообщил, что хакерская группа, поддерживаемая правительством Северной Кореи, использует социальные сети для нацеливания на исследователей безопасности.

В рамках атак злоумышленники просили исследователей совместно исследовать уязвимости, а затем пытались заразить свои компьютеры специальным вредоносным ПО для бэкдора.

В новом отчете Microsoft заявляет, что они также отслеживали этого злоумышленника, которого они отслеживают как «ZINC», в течение последних нескольких месяцев, поскольку хакеры нацелены на пентестеров, исследователей безопасности и сотрудников технических и охранных компаний. Другие исследователи отслеживают эту хакерскую группу под известным названием Lazarus.

«В последние месяцы Microsoft обнаружила кибератаки, нацеленные на исследователей безопасности со стороны субъекта, которого мы отслеживаем как ZINC. Кампания первоначально привлекла наше внимание после того, как Microsoft Defender for Endpoint обнаружил атаку в процессе. сотрудники охранных и технологических компаний ».

«Microsoft Threat Intelligence Center (MSTIC) с высокой степенью уверенности приписывает эту кампанию ZINC, группе, аффилированной с КНДР и спонсируемой государством, на основе наблюдаемых торговых операций, инфраструктуры, шаблонов вредоносных программ и принадлежности учетных записей», - сообщила группа Microsoft Threat Intelligence Center в новый отчет.

Основываясь на исследовании Microsoft, участники ZINC начали свою деятельность в середине 2020 года, создавая образы исследователей безопасности в Твиттере, ретвитнув контент по безопасности и публикуя сообщения об исследованиях уязвимостей.

Затем злоумышленники будут усиливать эти твиты, используя другие аккаунты Twitter-марионетки, находящиеся под их контролем. Эта тактика позволила группе завоевать репутацию в области исследования уязвимостей системы безопасности и создать последователей, среди которых были «известные исследователи безопасности».

microsoft-report-tweets.jpg

Активность злоумышленников ZINC в Twitter
Источник: Microsoft

В рамках своей атаки участники ZINC связывались с исследователями для совместной работы над уязвимостями и использования исследований. Как ранее сообщал Google, для тех исследователей, которые согласились, ZINC отправит проект Visual Studio, содержащий вредоносную DLL, которая будет выполняться, когда исследователи компилируют проект.

Эта DLL приведет к установке вредоносного ПО, которое позволит злоумышленникам получать информацию и выполнять команды на компьютере.
«По этому каналу C2 злоумышленники могут выполнять удаленные команды для перечисления файлов / каталогов и запущенных процессов, а также для сбора / загрузки информации о целевом устройстве, включая IP-адрес, имя компьютера и NetBIOS. Кроме того, мы наблюдали несколько рук: действие на клавиатуре для перечисления всех файлов / каталогов на целевом диске, создания снимков экрана и развертывания дополнительных модулей », - поясняет отчет Microsoft .

Другие способы атаки наблюдались в Microsoft.​

Помимо вредоносного проекта Visual Studio, Microsoft увидела, что ZINC атакует специалистов по безопасности другими методами.
Как уже объяснялось в отчетах Google, некоторые люди были заражены, просто посетив веб-сайт злоумышленников на полностью исправленных системах и в последней версии Google Chrome. Google не знал, как были скомпрометированы посетители, но заподозрил использование уязвимостей нулевого дня.
Microsoft заявляет, что злоумышленники делились ссылкой на сообщение в блоге на своем веб-сайте, содержащее набор эксплойтов, использующий «эксплойты нулевого дня или исправления ».

14 октября 2020 г. актер опубликовал сообщение в блоге под названием DOS2RCE: A New Technique To Exploit V8 NULL Pointer Dereference Bug . С 19 по 21 октября 2020 г. некоторые исследователи, с которыми не связались или не отправили любые файлы с профилями ZINC, переходили по ссылкам в браузере Chrome, что вскоре привело к появлению на их машинах известных вредоносных программ ZINC.

"Это говорит о том, что в блоге, скорее всего, размещалась цепочка эксплойтов браузера Chrome, хотя мы не смогли это доказать. Поскольку некоторые браузеры жертвы были полностью пропатчены, также подозревается, но не доказано, что цепочка эксплойтов использовала 0 "-день" или " патч- гэпы", - пояснил Microsoft.
Другие методы атак, используемые ZINC, включали:
  • Распространение сообщений в блогах в виде файлов MHTML, которые доходили до контролируемых ZINC доменов, которые выполняли вредоносный javascript.
  • Попытка использовать уязвимость CVE-2017-16238 в уязвимом драйвере для антивирусного продукта Vir.IT eXplorer. Microsoft заявляет, что эти попытки потерпели неудачу.
  • Развертывание кражи паролей Chrome.
Microsoft предупреждает, что вы посетили блог, принадлежащий ZINC ( br0vvnn [.] Io ), вам следует немедленно запустить полное антивирусное сканирование или использовать IOC в их отчете для проверки на инфекции.
Если эти IOC обнаружены на вашем компьютере, следует предполагать, что устройство полностью взломано.

Перевод с английского - Google

Bleeping Computer
 
Назад
Сверху Снизу