Zero-Day-Exploits: Cybersecurity-Forscher unter Beschuss
Bedrohungsakteure mit Verbindungen zu Nordkorea haben in den letzten Wochen gezielt Cybersecurity-Experten Cybersecurity-Experten ins Visier genommen und Zero-Day-Exploits. Diese Angreifer dringen in die Netzwerke der Forscher ein, indem sie eine Zero-Day-Schwachstelle in noch nicht veröffentlichter Software ausnutzen. Die Threat Analysis Group (TAG) von Google entdeckte diese illegalen Verhaltensweisenund brachte damit Licht in die Strategien der Angreifer.
Die trügerische Annäherung: Vertrauensbildung in den sozialen Medien
Die nordkoreanischen Bedrohungsakteure haben eine Täuschungstechnik entwickelt. Um Kontakte zu möglichen Zielpersonen herzustellen, erstellen sie gefälschte Identitäten auf bekannten Social-Media-Plattformen wie X (früher Twitter) und Mastodon. Diese Hochstapler führen ausführliche Gespräche und geben vor, an gemeinsamen Sicherheitsthemen interessiert zu sein. Wenn sie über soziale Medien Kontakt aufgenommen haben, gehen sie weiter zu sichere Messaging-Tools wie Signal, WhatsApp oder Wire.
Hackerangriffe auf Forscher sind durch Social Engineering sehr viel einfacher geworden. Auf diese Weise gewinnen die Angreifer das Vertrauen der Cyber-Sicherheitsforscher. Sie übermitteln schließlich eine bösartige Datei, die einen Ausnutzung eines Zero-Day-Bugs eines weit verbreiteten Softwarepakets enthält. Es ist wichtig zu erwähnen, dass die beschädigte Software derzeit repariert wird.
Maßnahmen für Advanced Payload und Anti-Virtual Machine
Nach der Ausführung der bösartigen Nutzlast führt er eine Reihe von Tests durch, um virtuelle Maschinen (VMs) zu entdecken. Die gesammelten Informationen, darunter auch ein Screenshot, werden anschließend an eine von den Angreifern kontrollierte Website gesendet. Diese innovative Strategie zielt darauf ab, eine Entdeckung zu vermeiden und gleichzeitig die Möglichkeiten der Angreifer zu verbessern.
Ein gesperrtes Konto auf X, das mindestens seit Oktober 2022 aktiv ist, deutet darauf hin, dass die Angreifer hartnäckig waren. Sie haben Sie haben sogar einen Proof-of-Concept (PoC)-Exploit-Code für kritische Schwachstellen zur Privilegienerweiterung im Windows-Kernel veröffentlichtwie z. B. CVE-2021-34514 und CVE-2022-21881.
Ein wiederkehrendes Muster: Köder für die Zusammenarbeit
Dies ist nicht das erste Mal, dass nordkoreanische Akteure Cyberangriffe auf Sicherheitsexperten. GitHub enthüllte im Juli 2023 eine Kampagne, bei der gefälschte Identitäten verwendet wurden, um den Cybersicherheitssektor anzugreifen. Die Angreifer lockten die Opfer zur Zusammenarbeit an GitHub-Repositories, bevor sie sie dazu brachten, Schadcode zu klonen und auszuführen.
Google TAG entdeckte auch ein eigenständiges Windows-Programm namens "GetSymbol" das die Angreifer erstellt und auf GitHub veröffentlicht haben. Ursprünglich sollte er Debugging-Symbole aus vertrauenswürdigen Quellen beziehen, kann aber auch beliebigen Code aus einer Command-and-Control-Domain (C2) herunterladen und ausführen. Aufgrund seiner komplexen Strategie ist er ein hervorragender sekundärer Infektionsvektor.
Eine umfassendere Bedrohungslandschaft
Diese Erkenntnis deckt sich mit den Entdeckungen des AhnLab Security Emergency Response Centre (ASEC), das festgestellt hat ScarCruft, a nordkoreanischer Akteur, der LNK-Dateien als Köder in Phishing-E-Mails verwendet. Diese Verlockungen enthalten eine Backdoor, über die sensible Daten extrahiert und gefährliche Befehle ausgeführt werden können.
Nach den jüngsten Entdeckungen von Microsoft, haben mehrere nordkoreanische Bedrohungsakteure die russische Regierung und den Verteidigungssektor im Visiermöglicherweise zum Zweck der Informationsbeschaffung, während sie gleichzeitig Russland in seiner Konfrontation mit der Ukraine unterstützen. Diese breite Palette von Aktivitäten zeigt, wie anpassungsfähig und vielfältig die nordkoreanischen Cyberbedrohungen sind. Sie macht auch deutlich, wie wichtig es ist, dass Zero-Day-Sicherheitsmaßnahmen.
Internationale Auswirkungen von Zero-Day-Exploits
Neben der Sammlung von Informationen und der Computerspionage wurde die Lazarus Group, eine weitere nordkoreanische Organisation, wurde vom FBI beschuldigt, virtuelle Währungen in Höhe von 41 Millionen Dollar in virtueller Währung von Stake.com, einer Online-Casino- und Wettseite, ausgezahlt zu haben. Diese Offenlegung der Schwachstelle unterstreicht die breiteren Ziele der nordkoreanischen Cyber-Bedrohungsakteurezu denen auch das Sammeln von Kryptowährungsgeldern für den Staat gehört.
Schlussfolgerung
Schließlich nutzen nordkoreanische Bedrohungsakteure eine Vielzahl von Ansätzen, um ihre Ziele zu erreichen, die von Zero-Day-Schwachstelle bis hin zu Phishing-Angriffen. Für Schutz von Forschungsdaten, müssen Cybersicherheitsforscher aufmerksam bleiben und strenge Sicherheitsmaßnahmen ergreifen. Diese Bedrohungen der Cybersicherheit machen deutlich, wie wichtig die internationale Zusammenarbeit und der Informationsaustausch sind, um die Auswirkungen feindlicher Operationen abzuschwächen.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und BleepingComputer.