게시일: 2021. 1. 29 오전 5:23:58
Google believes that hackers in North Korea are pretending to be cybersecurity bloggers and targeting researchers in the field on social media platforms like Twitter and LinkedIn.
The search giant announced that its Threat Analysis Group has “identified an ongoing campaign targeting security researchers working on vulnerability research and development at different companies and organizations.”
It attributed the campaign to a government-backed entity based in North Korea. The nation’s cooperation office with South Korea did not immediately respond to CNBC’s request for comment..
Google said the actors have targeted specific security researchers with a “novel social engineering” technique, although it didn’t specify which researchers have been targeted.
Google’s Adam Weidemann said in a blog on Monday that the hackers set up a research blog and created multiple Twitter profiles to engage with security researchers.
The hackers used these accounts to post links to the blog and share videos of software exploits that they claimed to have found, Google said.
They also used LinkedIn, Telegram, Discord, Keybase and email to engage with security researchers, Google said.
“After establishing initial communications, the actors would ask the targeted researcher if they wanted to collaborate on vulnerability research together,” wrote Weidemann.
The actors then shared a group of files with the researchers that contained malware — software that is intentionally designed to cause damage to a computer, server, client, or computer network.
Google listed several accounts and websites that it believes are controlled by the hackers. The list includes 10 Twitter profiles and five LinkedIn profiles.
Google said it also observed instances of security researchers being compromised after visiting the actors’ blog.
“In each of these cases, the researchers have followed a link on Twitter to a write-up hosted on blog.br0vvnn[.]io, and shortly thereafter, a malicious service was installed on the researcher’s system and an in-memory backdoor would begin beaconing to an actor-owned command and control server,” wrote Weidemann.
Google said the victims were running fully patched and up-to-date versions of Windows 10 and its own Chrome browser.
“At this time we’re unable to confirm the mechanism of compromise, but we welcome any information others might have,” Weidemann wrote.
“Chrome vulnerabilities, including those being exploited in the wild, are eligible for reward payout under Chrome’s Vulnerability Reward Program. We encourage anyone who discovers a Chrome vulnerability to report that activity.”
===============================================================
위의 글은 짧은 기사를 가져왔지만 실제 구글에서 발표한 위협 분석을 위해서는 아래 링크를 참조해보자
https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/
최근 1-25일 구글에서 한가지 글이 올라왔는데, 내용이 심상치 않다.
결론만 말하자면 북한에서 window 10 최신과 chrome 최신버전에서 exploit( full-chain ) 공격을 통해 exploit을 할 수 있고, 이 공격의 타겟을 보안 회사 / 및 연구소의 직원들을 대상으로 했다는 점이다.
자신들의 트위터에 보안을 연구하는 것처럼 페이지를 위장하여( 실제 취약점 분석 글을 작성 및 poc 동영상도 올림 ) 정상적인 연구원처럼 보이게 만들었지만, 사실 연구원들에게 접근하기 위한 1차적인 디딤돌로 사용했다.
아래는 해당 시기에 사용했던 계정중 하나를 캡쳐한 것이다. 오른쪽과 같이 현재는 계정이 정지되어 있는 형태임을 볼 수 있다.
북한의 공격은 총 두가지로 나눌 수 있다.
먼저 연구원/직원에게 같이 취약점을 연구해보자는 멘션을 날린다.
그리고 상대가 수락할 경우 Visual Studio 프로젝트를 공유하는데, 해당 프로젝트 중 DLL 하나가 공격을 수행하기 위한 악성 DLL로써 숨겨져 있다. 만약 이것을 수행할 경우,
위와같은 powershell 커맨드가 실행된다.
그러나 연구원들이 이러한 파일을 받지 않을 수도 있기 때문에 북한에서는 개인 블로그에 접속하면 0-day 취약점이 터져 트리거가 되도록 하는 공격도 시도했다.
( 총 두가지 공격, backdoor 파일 실행 or 블로그 0-day 공격 )
현재까지 어떤 취약점인지 밝혀지지 않았다는것 같은데, 아마 상당히 파급력이 크지 않을까 생각이 들고 북한의 해킹실력 역시 무시하지 못한다는 생각이 들었다. 현재 페이스북이나 트위터에 해당 캠페인에 대한 멘션이 자주 이뤄지므로 항상 주의하고 신뢰가 없는 사용자로부터의 request는 항상 조심하도록 하자.