Google揭露北朝鲜新一波针对安全研究人员的攻击

Google向研究人员发出警告，由北朝鲜-支持的骇客团队，正透过社交工程手法试图攻击安全研究人员，Google提到，安全研究人员应该保持警觉，并使用独立的电脑，或是使用虚拟机器与研究社群的人互动，以避免遭到入侵。

在过去几个月，Google威胁分析小组锁定了一个持续进行中的攻击活动，该攻击活动针对的是在不同公司或是组织，从事漏洞研究和开发的安全研究人员，Google提到，位在北朝鲜并且受-支持的骇客团体，以多种手段锁定研究人员。为了取得研究人员的信赖并建立起连结，攻击者创建了研究部落格，以及多个推特账号，与潜在攻击目标互动。

攻击者会在推特账号发布部落格连结以及破解影片，再以其他账号转推以放大影响力，部落格的文章包括已经公开的漏洞相关文章和分析，还有盗用不知情研究人员的作品当作客座文章，试图在安全研究人员中建立名声。

威胁分析小组无法验证所有部落格内的文章，但他们研究了几个案例，其中一个是攻击者2021年1月14日于推特分享的攻击影片，攻击者声称利用最近已修复的Windows Defender漏洞CVE-2021-1647产生cmd.exe壳层，在YouTube上有许多留言指出这是假造的影片，而攻击者则使用另外的推特账号，转推原推文并表示该影片是真的。

利用这种新颖的社交工程手段，攻击者锁定特定的安全研究人员后，便会开始尝试交流，并且询问目标研究人员，是否愿意在漏洞研究上合作，之后研究人员会收到Visual Studio专案，专案会包含破解漏洞的程式码，以及其他以Visual Studio建置事件触发执行的DLL，该DLL实际上为自定义的恶意软件，会立即与攻击者的命令与控制服务器开始通讯。

除了社交工程攻击手段之外，部分研究人员还在存取攻击者的部落格后受到入侵，在点击推特的连结，连接到blog.br0vvnn[.]io托管的文章，不久之后，研究人员的系统就被安装恶意服务，内存后门也开始与命令与控制服务器开始通讯。Google现在无法确认攻击者的入侵机制，仅知道受害者使用最新的Windows 10和Chrome浏览器版本。

攻击者使用多种平台和安全研究人员通讯，包括推特、LinkedIn、Telegram、Discord、Keybase和电子邮件，Google提到，安全人员进行研究工作时，包括浏览网页、与其他研究社群人员互动，还有接受第三方档案时，都应该使用独立的机器以及虚拟机器，以防遭到入侵。