Gli Hacker Nordcoreani Sfruttano i Social Media per Puntare ai Ricercatori di Sicurezza
Indice:
Gli analisti delle minacce di Google avvertono di una campagna dannosa attuale mirata ai ricercatori di vulnerabilità e ai membri dei Red Team. Si dice che un attore sostenuto dallo stato nordcoreano sia dietro questa operazione, sfruttando nuovi metodi di ingegneria sociale per avvicinarsi a singoli esperti di sicurezza tramite falsi profili sui social media.
Attacco contro i ricercatori di sicurezza
Panoramica della campagna del Google Threat Analysis Group (TAG) stima che il collettivo sostenuto dallo stato nordcoreano abbia creato un blog dedicato e una vasta rete di account falsi sui social media per infettare appassionati di caccia alle minacce con malware. In particolare, gli attori delle minacce si sono spacciati per ricercatori che lavorano sulla rilevazione di vulnerabilità e lo sviluppo di exploit per entrare in fiducia e avviare una conversazione online con i loro presunti colleghi.
Gli hacker hanno deciso di coprire quanti più canali di comunicazione possibile, creando account su Twitter, LinkedIn, Telegram, Keybase e Discord. Alcuni dei tentativi sono stati condotti anche tramite email.
Una volta agganciata la chat, gli avversari hanno proposto ai ricercatori di collaborare sull’analisi dei bug e hanno inviato un progetto Visual Studioinfettato da malware. Questo progetto era evidentemente mirato alla consegna di un Trojan backdoor, fornendo agli hacker il controllo sul PC bersagliato. Inoltre, gli utenti sono stati incoraggiati a visitare un blog. Il blog conteneva articoli sull’analisi degli exploit e video fittizi su presunti proof-of-concept (PoC) di exploit in azione, invitando gli esperti mirati a commentare il contenuto. Tuttavia, se visitato, il sito web rilasciava un codice dannoso su tutte le istanze che accedevano a questa pagina.
Notoriamente, anche gli utenti dell’ultima versione di Windows 10 eseguendo un browser Chrome completamente aggiornato hanno trovato i loro dispositivi compromessi. L’indagine è in corso, tuttavia, gli esperti considerano che gli attori delle minacce abbiano utilizzato un set di 0-day per Windows 10 e Chrome per infettare le vittime con i loro Trojan personalizzati. Il software dannoso ha molto in comune con gli strumenti del famigerato gruppo Lazarus che lavora per conto del governo nordcoreano.
Il principale obiettivo di questa operazione, avviata diversi mesi fa, sembra trasparente. Gli avversari hanno sviluppato un nuovo esca di ingegneria sociale per fuorviare gli esperti ed arricchire il toolkit dannoso con vulnerabilità precedentemente non rilevate. Avendo dati così preziosi, gli attori APT potrebbero raggiungere un vantaggio senza precedenti mentre attaccano obiettivi di alto profilo, senza costi né tempo speso sullo sviluppo degli exploit.
Rilevamento dell’attacco
Questo famigerato attacco è ancora sotto indagine, quindi tutti gli analisti di sicurezza colpiti sono invitati a condividere le loro intuizioni e dati aggiuntivi con la comunità . Per migliorare la difesa contro l’intrusione, il team SOC Prime ha urgentemente rilasciato contenuti di rilevazione, così tutti i ricercatori sospettando un possibile abuso potrebbero controllare il loro sistema per compromessi. Sentiti libero di scaricare una corrispondente regola Sigma dalla nostra piattaforma Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/HgPG9NGdS5UB/__m-P3cBTwmKwLA9By4Q/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Tattiche: Esecuzione, Evasione della difesa
Tecniche: Utility per sviluppatori fidati (T1127)
Inoltre, tieniti aggiornato sugli ultimi contributi dai nostri sviluppatori Threat Bounty mirati a una difesa proattiva contro questa minaccia:
Campagna Nordcoreana che prende di mira i ricercatori di sicurezza
Il gruppo Lazarus che prende di mira i ricercatori di sicurezza (via sysmon)
Aggiornamento 29/01/2021: Microsoft ha rilasciato un rapporto approfondito fornendo dettagli tecnici aggiuntivi sulla kill-chain dell’attacco. Per affrontare le nuove sfide emerse durante l’indagine, il nostro ingegnere di caccia alla minaccia e relatore su Security Talks con SOC Prime, Adam Swan, ha sviluppato una ulteriore regola di rilevazione. Abbiamo aperto questa regola SIGMA premium gratuitamente, in modo che tutti potessero cercare argomenti insoliti di rundll32 e rilevare il dropper dannoso. Restate al sicuro!
LOLBAS rundll32 senza argomenti attesi (via cmdline)
Segui le prossime versioni del Threat Detection Marketplace per non perdere nuovi elementi di contenuti SOC relativi a questa campagna ingannevole. Tutti i rilevamenti affiliati verranno aggiunti a questo post sul blog.
Iscriviti a Threat Detection Marketplace gratuitamente e resta sempre aggiornato con i contenuti SOC più rilevanti progettati per resistere agli attacchi informatici nelle prime fasi del loro ciclo di vita. Sei entusiasta di partecipare a iniziative globali di caccia alla minaccia? Unisciti al nostro Threat Bounty Program e sii ricompensato per il tuo contributo.
