19/10/21
Администрация социальной сети Twitter отключила две учетные записи (@lagal1990 и @shiftrows13), которые использовались злоумышленниками для обмана исследователей в области кибербезопасности. Хакеры загружали вредоносное ПО на устройства жертв в рамках длительной кампании по кибершпионажу, связанной с Северной Кореей.
Кампания была выявлена командой специалистов Google Threat Analysis Group (TAG) в январе нынешнего года. Злоумышленники создали «исследовательский» блог и использовали учетные записи в Twitter для распространения ссылок на мошеннический ресурс с целью привлечь потенциальных жертв. Аккаунты также использовались для публикации видеороликов с предполагаемыми эксплоитами, а также для ретвита сообщений из других учетных записей, контролируемых преступниками.
Кампания была нацелена на исследователей в области кибербезопасности, интересующихся уязвимостями. По словам экспертов, с помощью учетных записей злоумышленники выдавали себя за ИБ-экспертов, «опираясь на ажиотаж об уязвимостях нулевого дня».
«После установления первоначального взаимодействия преступники спрашивали потенциальную жертву, хочет ли она совместно работать над исследованием уязвимостей, а затем предоставляли проект Visual Studio», — рассказали эксперты.
В проекте Visual Studio содержится исходный код для использования уязвимости, а также дополнительная DLL-библиотеки, которая будет выполняться через события сборки Visual Studio. DLL-библиотека представляет собой настраиваемое вредоносное ПО и после запуска начнет взаимодействовать С&C-сервером преступников.
Для большей правдоподобности преступники также опубликовали на YouTube видеоролик с якобы успешной эксплуатацией уязвимости в Защитнике Windows ( CVE-2021-1647 ). Уязвимость была известна, поскольку использовалась хакерами в ходе атаки на SolarWinds .
Пострадавшие исследователи работали с полностью исправленными и обновленными версиями браузера Windows 10 и Google Chrome. Это означает, что злоумышленники использовали уязвимости нулевого дня .
