Cyberkriminelle erfinden sich und ihre Hacking-Ansätze ständig neu. Eine der neuesten „Innovationen“ in der Welt des Cyber-Betrugs konzentriert sich auf Cyber-Betrüger, die sich an Cybersicherheitsforscher richten.
Cybercrooks, die sich als Cybersicherheitsforscher ausgeben… Zielgruppe sind Cybersicherheitsforscher
"Im Januar, Die Threat Analysis Group dokumentierte eine Hacking-Kampagne, was wir einer von der nordkoreanischen Regierung unterstützten Einheit zuschreiben konnten, Zielgruppe Sicherheitsforscher. Am 17. März, Dieselben Akteure, die hinter diesen Angriffen stehen, haben eine neue Website mit zugehörigen Social-Media-Profilen für ein gefälschtes Unternehmen namens „SecuriElite“ eingerichtet,Adam Weidemann von der Threat Analysis Group von Google schrieb in ein Artikel über die Angriffe.
Mit anderen Worten, die gleiche Kampagne, zunächst zu Beginn erkannt 2021, ist jetzt wieder aktiv, Verwendung einer Forschungsblog-Website und mehrerer Social-Media-Profile. Insbesondere, Die Cyberkriminellen haben acht Twitter- und sieben LinkedIn-Profile eingerichtet, angeblich zu Schwachstellenforschern und HR-Spezialisten mehrerer Sicherheitsfirmen gehörend, sowie Trend Micro.
Sie verwendeten die Profile, um Links zur Website zu veröffentlichen, "Posten von Videos ihrer behaupteten Exploits und zum Verstärken und Retweeten von Posts von anderen Konten, die sie kontrollieren". Der Forschungsblog enthielt Aufzeichnungen und Analysen öffentlich offengelegter Schwachstellen, Außerdem mit Gastbeiträgen von "unwissenden legitimen Sicherheitsforschern". All diese Bemühungen wurden wahrscheinlich unternommen, um Glaubwürdigkeit vor der Cybersicherheitsgemeinschaft zu schaffen.
Spezifische Sicherheitsforscher gezielt
Es stellt sich heraus, dass bestimmte Forscher ins Visier genommen wurden. Die neuartigen Social-Engineering-Tricks wurden verwendet, um Kommunikation herzustellen und den Zielexperten zu fragen, ob er zusammenarbeiten möchte Vulnerabilitätsforschung. Einmal stimmte der Forscher zu, Die Cyberkriminellen würden ihnen ein Visual Studio-Projekt zur Verfügung stellen, das den Quellcode zur Ausnutzung des jeweiligen Fehlers enthält. Eine zusätzliche DLL-Datei war ebenfalls enthalten, die über Visual Studio Build Events ausgeführt werden musste.
„Bei der DLL handelt es sich um benutzerdefinierte Malware, die sofort mit der Kommunikation mit von Akteuren kontrollierten C2-Domänen beginnt. Ein Beispiel für das VS-Build-Ereignis ist in der folgenden Abbildung dargestellt,”Erklärte der erste Bericht über den Angriff.
Das derzeit aktive Gelände wird als offensives Sicherheitsunternehmen in der Türkei präsentiert. Das Unternehmen bietet angeblich Stifttests an, Bewertung der Software-Sicherheit, und Exploits.
Die Website enthält einen Link zum öffentlichen PGP-Schlüssel des Angreifers, wie in ihren vorherigen Websites gesehen. Die erstellten Social-Media-Profile setzen den Trend fort, als andere Sicherheitsforscher zu posten, die an Ausbeutung und offensiver Sicherheit interessiert sind,“So der Bericht.
Abschließend…
Diese Website wurde noch nicht entdeckt und liefert schädliche Inhalte. Jedoch, Die Threat Analysis Group hat es vorsorglich zu Google Safebrowsing hinzugefügt. „Basierend auf ihrer Aktivität, Wir glauben weiterhin, dass diese Akteure gefährlich sind, und wahrscheinlich mehr 0-Tage haben,“Die Forscher stellten fest.
In einem anderen jüngsten Angriff, Softwareentwickler wurden von speziell erstellter Malware angesprochen. Das trojanisierte Xcode-Projekt richtete sich an iOS-Entwickler. Das Projekt war eine böswillige Version eines legitimen, Open-Source-Projekt auf GitHub verfügbar, Aktivieren von iOS-Programmierern, um verschiedene erweiterte Funktionen zum Animieren der iOS-Registerkartenleiste zu verwenden.