Aynısını alıp yeniden başlıyoruz. Kuzey Kore’nin güvenlik araştırmacılarını hedef alan kötü niyetli bir kampanyasını açığa çıkardıktan iki yıldan fazla bir süre sonra, Google’ın gelişmiş kalıcı tehdit gruplarını avlama konusunda uzmanlaşmış güvenlik ekibi olan Tehdit Analiz Grubu (TAG), yeni bir kampanya başlattı. uyarı.
Yeni kampanya, önceki kötü niyetli eylemle “benzerliklerle” “muhtemelen aynı aktörler tarafından yürütülüyor”. Google uzmanlarına göre, saldırganlar tarafından aktif olarak aranan bu bilinmeyen kusurlar olan en az bir sıfır gün güvenlik açığı, son haftalarda güvenlik araştırmacılarını hedef almak için kullanılıyor. Bildirdiği gibi Bip sesi çıkaran bilgisayarKuzey Koreli bilgisayar korsanlarının nihai hedefinin henüz açıklanmayan güvenlik açıklarını ele geçirmek olması muhtemeldir.
Sahte profiller
Hedeflenen güvenlik araştırmacılarına ilk olarak sosyal ağ X (eski adıyla Twitter) aracılığıyla ulaşıldı. Google tarafından paylaşılan bir ekran görüntüsü, saldırganlardan birinin kimliğini açığa çıkarıyor: Profil fotoğrafında tehditkar bulutların önünde bir daldaki kedi profilini gösteren @Paul091_, burada bir güvenlik araştırmacısı ve yazılım geliştiricisi olduğunu iddia ediyor. GetSymbol.
Borsalar daha sonra Signal, WhatsApp ve Wire gibi mesajlaşma uygulamalarına taşındı. Güvenlik araştırmacısına güvenildikten sonra saldırganlar, belirtilmemiş bir yazılım paketinin söz konusu güvenlik açığından yararlanan kötü amaçlı bir dosya gönderdi. Bu kusurun yazılım yayıncısına bildirildikten sonra düzeltileceği bildiriliyor.
Açık kaynaklı bir araca arka kapı
“Paul091_” adlı kullanıcının bahsettiği yazılım GetSymbol, Google uzmanlarının da ilgisini çekti. Kaynak kodu Eylül 2022’de yayınlanan, tersine mühendislik amaçlı bu açık kaynaklı araç, aslında bir tür tehlikeli Truva atı olacaktır.
Bu potansiyel ikincil enfeksiyon vektörü, kodun bir saldırgan tarafından kontrol edilen bir alandan uzaktan yürütülmesine gerçekten izin verecektir. Google uzmanları, bu aracı yükleyen araştırmacıların, örneğin işletim sistemlerini yeniden yükleyerek önlem almasını öneriyor.