flag-2528969_1280.jpg

Coreia do Norte está atacando pesquisadores, diz alerta do Google

Os atores por trás dessa campanha, segundo o Google, pertencem a uma entidade apoiada pelo governo da Coréia do Norte
Da Redação
26/01/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O Threat Analysis Group do Google, equipe que monitora a atividade global de grupos considerados APTs (advanced persistent threats), identificou uma campanha em andamento dirigida a pesquisadores de segurança de diferentes organizações que trabalham na resolução de vulnerabilidades. Os atores por trás dessa campanha, segundo o Google, pertencem a uma entidade apoiada pelo governo da Coréia do Norte e empregaram uma série de meios para atingir os pesquisadores.

Veja isso
Coreia do Norte roubou segredos de Israel, afirma empresa de cyber
US$ 5M pela identificação de hackers da Coreia do Norte

Segundo o relatório, para construir credibilidade e se conectar com pesquisadores de segurança os atores de ameaça criaram um blog de pesquisa e também vários perfis no Twitter para interagir com alvos em potencial. Eles usaram esses perfis para postar links do blog, vídeos de suas supostas explorações e para amplificar e retuitar postagens de outras contas que controlam.

O blog contém relatórios e análises de vulnerabilidades já divulgados, além de posts com os textos copiados de postagens feitas por pesquisadores de segurança legítimos, provavelmente em uma tentativa de construir credibilidade adicional com outros pesquisadores de segurança, diz o relatório do Google.

A campanha, que é bem organizada em várias plataformas online, incluiu comprometimentos de navegador e sites com armadilhas. “Além de direcionar os usuários por meio da engenharia social, também observamos vários casos em que pesquisadores foram comprometidos após visitar o blog dos atores. Em cada um desses casos, eles haviam seguido um link no Twitter para um artigo hospedado no blog.br0vvnn [.] Io. Logo em seguida, um serviço malicioso com backdoor foi instalado no sistema do pesquisador”, explicou Adam Weidemann do Google.

“No momento dessas visitas, os sistemas das vítimas estavam executando versões do Windows 10 e do navegador Chrome totalmente corrigidas e atualizadas”, disse Weidewmann, sugerindo o possível uso de exploits de zero day.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest