北朝鲜骇客攻击资安研究员手法再升级！不只架设冒牌资安公司网站，还以征才名义行骗

资安研究人员近日成为骇客锁定的对象，一旦资安研究人员有所疏忽而落入圈套，便很有可能导致自己的研究成果外泄，而近期骇客更看上资安研究员经常关注资安新创征才的机会，以假的公司网站和征才来做为幌子诱骗。Google旗下的威胁分析小组（TAG）发现，骇客组织不光只是成立资安研究员推特账号，还架设了冒牌资安公司的网站，让资安研究员不疑有他而上当。不过，针对资安研究人员的攻击这并非首例，Google曾在1月揭露一起为期数个月的攻击行动，当时骇客以漏洞研究交流的名义行骗。

而这个Google未揭露身份的骇客组织，最近又有了攻击行动。Google于3月31日在部落格指出，这个骇客组织约在3月17日，以假的资安公司“SecuriElite”的名义，成立了冒牌资安公司网站，以及建立相关的社群网站资料。这家SecuriElite宣称是位于土耳其的资安公司，提供渗透测试、软件安全资产盘点，以及漏洞研究等服务。

这个骇客的资安公司网站，与之前架设的资安部落格相比，Google指出当中有个共通点，就是该冒牌资安公司网页的最底端，同样有PGP金钥的连结。而这个连结的用途是什么？根据先前Google接获受害的研究人员通报，前述部落格的金钥连结，骇客很可能是用来触发浏览器的漏洞。

不过，Google表示，他们并未在SecuriElite网站上发现恶意内容，但为了预防万一，该公司还是将相关网站加到自家旗下安全浏览服务（Google Safe Browsing）的名单中。

除了上述的冒牌资安公司网站之余，Google指出骇客这次也同样建立多个社群网站账号，吸引钻研漏洞与资安防护领域的研究人员。他们提到其中的2个LinkedIn账号，骇客假扮成资安公司与防毒厂商的人才招聘者。这也与1月份公开的攻击行动中，以佯称是资安研究人员的账号有所不同。

值得留意的是，究竟骇客如何对资安研究员发动攻击的细节，这次Google并未进一步说明，但他们认为，骇客在上次的攻击行动滥用未知IE漏洞，这次很有可能会运用更多未知漏洞，而使得相关攻击也非常危险。

至于此次发动攻击的骇客集团身份为何？Google仅表明很可能是北朝鲜-支持的实体，而在1月下旬公布的调查结果中，微软点名这个骇客组织就是恶名昭彰的Zinc（又称为Lazarus、APT38、Hidden Cobra）。