Cyberkriminelle genopfinder konstant sig selv og deres hackingtilgange. En af de nyeste "innovationer" i cybersvindens verden fokuserer på cybercrooks målrettet cybersikkerhedsforskere.
Cybercrooks udgør som forskere inden for cybersikkerhed… målretning mod cybersikkerhedsforskere
"I januar, Threat Analysis Group dokumenterede en hackingkampagne, som vi var i stand til at tilskrive en nordkoreansk regeringsstøttet enhed, rettet mod sikkerhedsforskere. Den 17. marts, de samme aktører bag disse angreb oprettede et nyt websted med tilknyttede profiler på de sociale medier for en falsk virksomhed kaldet ”SecuriElite,”Adam Weidemann fra Googles Threat Analysis Group skrev ind en artikel, der beskriver angrebene.
Med andre ord, den samme kampagne, oprindeligt opdaget i begyndelsen af 2021, er nu aktiv igen, ved hjælp af en forskningsblogwebsite og flere profiler på sociale medier. Mere specielt, cyberkriminelle oprettede otte Twitter- og syv LinkedIn-profiler, angiveligt tilhørende sårbarhedsforskere og HR-specialister hos flere sikkerhedsfirmaer, såsom trend Micro.
De brugte profilerne til at sende links til hjemmesiden, “Udstationering af videoer af deres påståede bedrifter og til forstærkning og retweeting af indlæg fra andre konti, som de kontrollerer”. Forskningsbloggen indeholdt opskrivninger og analyser af offentliggjorte sårbarheder, også med gæsteposter fra "ubevidste legitime sikkerhedsforskere." Alle disse bestræbelser blev sandsynligvis gjort for at skabe troværdighed foran cybersikkerhedssamfundet.
Specifikke sikkerhedsforskere målrettet
Det viser sig, at specifikke forskere blev målrettet. De nye socialtekniske tricks blev brugt til at etablere kommunikation og spørge den målrettede ekspert, om de ønskede at samarbejde om sårbarhedsforskning. Når forskeren var enig, cyberkriminelle ville give dem et Visual Studio-projekt, der indeholdt kildekoden til udnyttelse af den særlige fejl. En ekstra DLL-fil blev også inkluderet, som skulle udføres gennem Visual Studio Build Events.
“DLL er brugerdefineret malware, der straks begynder at kommunikere med skuespillerstyrede C2-domæner. Et eksempel på VS Build-begivenheden kan ses på billedet nedenfor,”Den oprindelige rapport, der beskriver angrebet, forklarede.
Det nuværende aktive sted præsenteres som et stødende sikkerhedsfirma beliggende i Tyrkiet. Virksomheden tilbyder angiveligt pen-test, vurdering af softwaresikkerhed, og udnyttelser.
Webstedet har et link til angribernes PGP offentlige nøgle, som det ses på deres tidligere websteder. De oprettede profiler på de sociale medier “fortsætter tendensen med udstationering som kollegaer for sikkerhedsforskere, der er interesserede i udnyttelse og stødende sikkerhed,”Hedder det i rapporten.
Afslutningsvis…
Dette websted er ikke fundet, der leverer ondsindet indhold endnu. Men, Threat Analysis Group tilføjede det til Google Safebrowsing som en forsigtighedsforanstaltning. ”Baseret på deres aktivitet, vi fortsætter med at tro, at disse aktører er farlige, og sandsynligvis have mere 0-dage,”Forskerne konkluderede.
I endnu et angreb for nylig, softwareudviklere blev målrettet mod specifikt oprettet malware. Det trojaniserede Xcode-projekt var rettet mod iOS-udviklere. Projektet var en ondsindet version af en legitim, open source-projekt tilgængeligt på GitHub, gør det muligt for iOS-programmører at bruge flere avancerede funktioner til animering af fanebladet iOS.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: