不只Google，微软也发现北朝鲜骇客锁定资安社群的攻击行动

Google于日前揭露，有一来自北朝鲜的骇客集团专门针对资安研究人员发动攻击，而不只是Google，微软也发现了同一个攻击行动，并说该攻击是来自北朝鲜骇客集团ZINC。不管是Google或微软皆表示，公布相关的攻击细节是为了提醒资安研究人员：他们已成为国家级骇客锁定的攻击目标。

微软指出，ZINC采用了许多不同的新技术，包括在社交网站上以真实的内容建立名声，传送恶意的Visual Studio专案，还透过部落格及浏览器攻击程式于受害者的系统上植入恶意程式。

根据微软的调查，ZINC是在去年中开始于Twitter上展开活动，该集团建立了数个Twitter账号，转推许多高品质的安全内容，以及张贴由他们所控制的部落格文章连结，这些文章都是有关攻击程式的研究，这些账号还会互相吹捧或转贴，总计吸引了约2,000名的追随者，且不乏知名研究人员。

在Twitter取得知名度之后，骇客即透过Twitter或LinkedIn等社交平台接触这些研究人员，询问有关安全或开采技术等一般的问题，若得到回应，骇客则进一步要求研究人员改用电子邮件或Discord联系，继之传送加密档案或以PGP保护的ZIP档案。

此外，ZINC也会在Twitter上张贴一安全部落格的文章连结，而这个部落格亦是由ZINC团队所掌控。

成功渗透安全社群的ZINC一步步地请君入瓮，有些资安研究人员在以Chrome点选上述部落格的特定文章之后，就被植入了ZINC恶意程式。微软怀疑骇客可能利用了Chrome浏览器的修补空窗期发动攻击，因为并非所有造访该文章的使用者都受害。

还有些资安研究人员收到了恶意的Visual Studio专案，骇客在这些专案中夹带了Comebacker恶意程式。Comebacker会企图扩张权限或是部署另外的Klackring恶意服务。

在受害装置上建立了后门以后，受害装置每60秒就会与C&C装置通讯，以利骇客自远端执行各种命令，包括搜集装置资讯，拍摄屏幕快照，列出硬盘中的档案与目录，或是部署其它模组等。

连至ZINC部落格的连结现已被浏览器挡下，而Google与微软也都公布了ZINC所使用的部落格网址、Twitter/LinkedIn/GitHub账号、C&C网域、可能已被ZINC危害并用来充当控制暨命令服务器的网址，以及相关攻击所使用的各种恶意程式，以利资安研究人员加强防范。