Nordkoreanische Hacker verlassen sich auf soziale Medien, um Sicherheitsforscher ins Visier zu nehmen
Inhaltsverzeichnis:
Bedrohungsanalysten von Google warnen vor einer aktuellen bösartigen Kampagne, die sich an Schwachstellenforscher und Red Team-Mitglieder richtet. Berichten zufolge steht ein von Nordkorea unterstützter Akteur hinter dieser Operation und nutzt neuartige Methoden des Social Engineering, um individuelle Sicherheitspraktiker über gefälschte Social-Media-Profile anzusprechen.
Angriff auf Sicherheitsforscher
Der Kampagnenüberblick der Google Threat Analysis Group (TAG) schätzt dass das von Nordkorea unterstützte Kollektiv einen speziellen Blog und ein breites Netzwerk von gefälschten Social-Media-Konten erstellt hat, um Bedrohungsjäger-Enthusiasten mit Malware zu infizieren. Insbesondere traten Bedrohungsakteure als Forscher auf, die an der Erkennung von Schwachstellen und der Exploit-Entwicklung arbeiten, um Vertrauen zu gewinnen und mit ihren angeblichen Kollegen ein Online-Gespräch zu beginnen.
Die Hacker beschlossen, so viele Kommunikationskanäle wie möglich abzudecken, indem sie Konten auf Twitter, LinkedIn, Telegram, Keybase und Discord erstellten. Einige Versuche wurden sogar per E-Mail durchgeführt.
Sobald der Kontakt aufgenommen war, schlugen die Gegner den Forschern vor, bei der Fehleranalyse zusammenzuarbeiten und schickten ihnen ein mit Malware behaftetes Visual Studio-Projekt. Dieses Projekt war offensichtlich auf die Bereitstellung eines Backdoor-Trojaners ausgerichtet, der den Hackern die Kontrolle über den Ziel-PC verschaffte. Zusätzlich wurden die Nutzer ermutigt, einen Blog zu besuchen. Der Blog enthielt Artikel über Exploit-Analyse und erfundene Videos über angebliche Proof-of-Concept (PoC)-Exploits in Aktion, die dazu beitrugen, dass die Zielpersonen Kommentare zu den Inhalten abgaben. Beim Besuch der Seite wurde jedoch ein schädlicher Code auf alle Instanzen heruntergeladen, die diese Seite aufriefen.
Bemerkenswert ist, dass sogar Nutzer der neuesten Windows 10-Version mit einem vollständig gepatchten Chrome-Browser ihre Geräte kompromittiert fanden. Die Untersuchung läuft noch, jedoch gehen Experten davon aus, dass die Bedrohungsakteure eine Reihe von 0-Days für Windows 10 und Chrome nutzten, um Opfer mit ihren maßgeschneiderten Trojanern zu infizieren. Die bösartige Software hat viel gemeinsam mit den Werkzeugen der berüchtigten Lazarus-Gruppe , die im Auftrag der nordkoreanischen Regierung arbeitet.
Das Hauptziel dieser vor mehreren Monaten gestarteten Operation scheint klar zu sein. Die Gegner entwickelten einen neuen Social-Engineering-Köder, um Experten in die Irre zu führen und den bösartigen Werkzeugkasten mit bislang unentdeckten Schwachstellen zu bereichern. Mit solch wertvollen Daten könnten APT-Akteure einen beispiellosen Vorteil beim Angriff auf hochkarätige Ziele erreichen, ohne Kosten und Zeit für die Entwicklung von Exploits aufwenden zu müssen.
Angriffserkennung
Dieser berüchtigte Angriff wird immer noch untersucht, daher werden alle betroffenen Sicherheitsanalysten dringend aufgefordert, ihre Erkenntnisse und zusätzlichen Daten mit der Community zu teilen. Um die Verteidigung gegen den Angriff zu verstärken, hat das SOC Prime-Team dringend Erkennungsinhalte veröffentlicht, damit alle Forscher, die einen möglichen Missbrauch vermuten, ihr System auf Kompromittierungen überprüfen können. Sie können eine entsprechende Sigma-Regel von unserer Threat Detection Marketplace-Plattform herunterladen:
https://tdm.socprime.com/tdm/info/HgPG9NGdS5UB/__m-P3cBTwmKwLA9By4Q/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Taktiken: Ausführung, Verteidigungsevasion
Techniken: Vertrauenswürdige Entwickler-Dienstprogramme (T1127)
Finden Sie auch die neuesten Beiträge unserer Threat Bounty-Entwickler, die sich auf proaktive Verteidigung gegen diese Bedrohung konzentrieren:
Nordkoreanische Kampagne, die Sicherheitsforscher ins Visier nimmt
Lazarus-Gruppe zielt auf Sicherheitsforscher ab (über sysmon)
Update 29.01.2021: Microsoft veröffentlichte einen detaillierten Bericht mit zusätzlichen technischen Details zur Angriffskettenreaktion. Um auf neue Herausforderungen zu reagieren, die während der Untersuchung aufgedeckt wurden, entwickelte unser Bedrohungsjagd-Ingenieur und Sprecher bei Security Talks mit SOC Prime, Adam Swan, eine zusätzliche Erkennungsregel. Wir haben diese Premium-SIGMA-Regel kostenlos geöffnet, damit alle nach ungewöhnlichen rundll32-Argumenten suchen und den bösartigen Dropper erkennen können. Bleiben Sie sicher!
LOLBAS rundll32 Ohne Erwartete Argumente (über cmdline)
Verfolgen Sie die kommenden Veröffentlichungen im Threat Detection Marketplace, um keine neuen SOC-Inhalte zu dieser täuschenden Kampagne zu verpassen. Alle zugehörigen Erkennungen werden diesem Blogbeitrag hinzugefügt.
Abonnieren Sie den Threat Detection Marketplace kostenlos und bleiben Sie auf dem Laufenden mit den relevantesten SOC-Inhalten, die entwickelt wurden, um Cyberangriffe in den frühesten Phasen ihres Lebenszyklus zu widerstehen. Sind Sie begeistert von der Teilnahme an globalen Bedrohungsjagdinitiativen? Treten Sie unserem Threat Bounty Program bei und lassen Sie sich für Ihren Beitrag belohnen.
