Nordkoreas Kampagne gegen Sicherheitsforscher

 (blog.google)
2 Punkte von GN⁺ 2023-09-08 | 1 Kommentare | Auf WhatsApp teilen
  • Die Threat Analysis Group (TAG) von Google berichtete über eine anhaltende Kampagne nordkoreanischer, staatlich unterstützter Akteure, die auf Sicherheitsforscher abzielt.
  • Diese Kampagne wurde erstmals im Januar 2021 offengelegt und nutzt 0-Day-Schwachstellen gegen Forscher, die in der Schwachstellenforschung und -entwicklung tätig sind.
  • TAG verfolgt und stört diese Kampagnen seit mehr als zwei Jahren und findet 0-Days, um Nutzer im Internet zu schützen.
  • Kürzlich identifizierte TAG anhand von Ähnlichkeiten zu früheren Kampagnen eine neue Kampagne derselben Akteure.
  • Mindestens eine aktiv ausgenutzte 0-Day-Schwachstelle wurde in den vergangenen Wochen gegen Sicherheitsforscher eingesetzt. Diese Schwachstelle wurde dem betroffenen Anbieter gemeldet und wird derzeit gepatcht.
  • Nordkoreanische Bedrohungsakteure nutzen Social-Media-Seiten, um Beziehungen zu ihren Zielen aufzubauen, führen dabei oft lange Gespräche und versuchen, bei gemeinsamen Interessen zusammenzuarbeiten.
  • Nachdem sie eine Beziehung zu den anvisierten Forschern aufgebaut haben, senden die Bedrohungsakteure bösartige Dateien, die mindestens eine 0-Day-Schwachstelle in beliebten Softwarepaketen enthalten.
  • Nach einer erfolgreichen Ausnutzung führt der Shellcode Prüfungen auf virtuelle Maschinen durch und sendet gesammelte Informationen sowie Screenshots an eine von den Angreifern kontrollierte Command-and-Control-Domain.
  • Zusätzlich zur Nutzung von 0-Day-Schwachstellen gegen Forscher entwickelten die Bedrohungsakteure ein eigenständiges Windows-Tool, das wie ein nützliches Werkzeug zum Herunterladen von Symbolinformationen aussieht, aber auch beliebigen Code von einer von den Angreifern kontrollierten Domain herunterladen und ausführen kann.
  • TAG empfiehlt, bei Download oder Ausführung dieses Tools Vorsichtsmaßnahmen zu treffen, um sicherzustellen, dass sich das System in einem bekannten sauberen Zustand befindet, was eine Neuinstallation des Betriebssystems erforderlich machen dürfte.
  • TAG nutzt die Forschungsergebnisse, um die Sicherheit und den Schutz von Google-Produkten zu verbessern, und fügt alle identifizierten Websites und Domains zu Safe Browsing hinzu, um zu verhindern, dass Nutzer weiter ausgenutzt werden.
  • TAG sendet Warnungen vor staatlich unterstützten Angreifern an Gmail- und Workspace-Nutzer und empfiehlt potenziellen Zielen, Enhanced Safe Browsing in Chrome zu aktivieren und alle Geräte zu aktualisieren.
  • TAG engagiert sich dafür, seine Forschungsergebnisse mit der Sicherheits-Community zu teilen, um das Bewusstsein zu erhöhen und das Verständnis für Strategien und Techniken zu verbessern, was zum stärkeren Schutz von Nutzern in der gesamten Branche beiträgt.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-08
Hacker-News-Kommentare
  • Das bösartige Tool getsymbol auf Github hat 214 Sterne, aber es gibt kein Warnbanner. Es wird vorgeschlagen, dass Github Warnungen für andere Software mit bekannten Backdoors dieser Art hinzufügen sollte.
  • Es wurde die Frage aufgeworfen, wie Nordkoreaner trotz uneingeschränktem Internetzugang und Englischkenntnissen vermeiden, Medien ausgesetzt zu sein, die den staatlichen Medien ihres Landes widersprechen.
  • Es wurden Bedenken hinsichtlich der Legitimität beliebter Download-Seiten wie den ffmpeg windows binaries geäußert sowie bezüglich der Möglichkeit, dass staatliche Akteure auf inoffiziell gehostete Downloads setzen.
  • Der Einsatz von 0days gegen Sicherheitsforscher durch Nordkorea wirkt wie ein Test und bietet potenziell den zusätzlichen Vorteil, von den Zielpersonen weitere 0days zu erlangen.
  • Es wurde spekuliert, dass die jüngsten macOS-Sicherheitsupdates mit der diskutierten Schwachstelle zusammenhängen.
  • Es wurden Zweifel daran geäußert, dass Sicherheitsforscher Windows-Binärdateien aus unbekannten Quellen ausführen würden; stattdessen wurde vermutet, dass sie solche Binärdateien eher in einer sichereren Umgebung untersuchen.
  • Es wurde gefragt, wie festgestellt wurde, dass die Bedrohung aus Nordkorea stammt.
  • Es gibt die Behauptung, dass alle bestätigten Websites und Domains zu Safe Browsing hinzugefügt werden, obwohl die Website dbgsymbol.com im Safe Browsing von Brave nicht mit einer Warnung angezeigt wird.
  • Ein ehemaliger Geheimdienstmitarbeiter warnte davor, Nordkoreas technische Fähigkeiten oder seine Fähigkeit zu unterschätzen, kluge und fleißige Menschen zu rekrutieren.
  • Es wird empfohlen, bei einer Tätigkeit in einer Sicherheitsrolle auf LinkedIn die eigene Berufsbezeichnung nicht als Sicherheit anzugeben.