Північнокорейські хакери знову атакують ІБ-дослідників

Північнокорейські хакери знову атакують ІБ-дослідників


У січні 2021 року експерти Google попереджали, що північнокорейські хакери атакують ІБ-фахівців, що займаються дослідженнями вразливостей. До фахівців застосовували соціальну інженерію, намагалися увійти до них у довіру, а в підсумку заманити на шкідливі сайти та заразити їх системи малваре.

Тепер в Google пишуть, що ці атаки відновилися: було виявлено фейковий сайт ІБ-фірми SecuriElite, а також її облікові записи в Twitter і LinkedIn, які були створені тією ж хакерської групою. Нібито фірма знаходиться в Туреччині і займається пентестамі, оцінкою безпеки ПЗ і експлойтів.

Зв'язати цю компанію з минулими атаками вдалося завдяки використанню того ж відкритого ключа PGP. 

Судячи з усього, зловмисники діяли за старою схемою: планували використовувати акаунти в соціальних мережах для зв'язку з ІБ-фахівцями, щоб заманити дослідників на свій сайт, де проти них використовували б експлоїти для браузера і заражали б їх машини шкідливим ПЗ. 

Тоді як під час першої хвилі атак використовувалися уразливості нульового дня в Google Chrome, Internet Explorer і Windows 10, новий сайт не містив будь-якого шкідливого коду. У Google вважають, що операція була виявлена ще на етапі планування, і до експлойтів справа дійти просто не встигла. Google все одно додала адреса сайту (securielite [.] Com) в Safe Browsing API, щоб користувачі не могли потрапити на нього навіть випадково. Також експерти повідомили соціальні мережі про облікові записи зловмисників, які тепер вже заблоковані. 

Читайте також: