Trong vài tháng qua, Nhóm phân tích mối đe dọa đã xác định được một chiến dịch đang diễn ra nhằm vào các nhà nghiên cứu bảo mật đang nghiên cứu và phát triển lỗ hổng tại các công ty và tổ chức khác nhau. Các tác nhân đằng sau chiến dịch này, mà chúng tôi gán cho một tổ chức được chính phủ hậu thuẫn có trụ sở tại Triều Tiên, đã sử dụng một số phương tiện để nhắm mục tiêu các nhà nghiên cứu mà chúng tôi sẽ trình bày dưới đây. Chúng tôi hy vọng bài đăng này sẽ nhắc nhở những người trong cộng đồng nghiên cứu bảo mật rằng họ là mục tiêu của những kẻ tấn công được chính phủ hậu thuẫn và nên cảnh giác khi tương tác với những cá nhân mà họ chưa từng tương tác trước đó.
Để xây dựng uy tín và kết nối với các nhà nghiên cứu bảo mật, các diễn viên đã thành lập một blog nghiên cứu và nhiều hồ sơ Twitter để tương tác với các mục tiêu tiềm năng. Họ đã sử dụng các hồ sơ Twitter này để đăng các liên kết đến blog của họ, đăng video về các thành tích đã được tuyên bố của họ và để khuếch đại và đăng lại các bài đăng từ các tài khoản khác mà họ kiểm soát.
Hồ sơ Twitter của diễn viên được kiểm soát.
Blog của họ chứa các bài viết và phân tích các lỗ hổng đã được tiết lộ công khai, bao gồm các bài đăng “khách mời” từ các nhà nghiên cứu bảo mật hợp pháp không cố ý, có khả năng nhằm tạo thêm uy tín với các nhà nghiên cứu bảo mật khác.
Ví dụ về một phân tích được thực hiện bởi diễn viên về một lỗ hổng được tiết lộ công khai.
Mặc dù chúng tôi không thể xác minh tính xác thực hoặc trạng thái hoạt động của tất cả các khai thác mà họ đã đăng video, nhưng trong ít nhất một trường hợp, các diễn viên đã giả mạo thành công của khai thác hoạt động được yêu cầu của họ. Vào ngày 14 tháng 1 năm 2021, các diễn viên đã chia sẻ qua Twitter một video YouTube mà họ tải lên tuyên bố khai thác CVE-2021-1647, một lỗ hổng Windows Defender đã được vá gần đây. Trong video, họ có ý định hiển thị một khai thác hoạt động thành công tạo ra một trình bao cmd.exe, nhưng xem xét cẩn thận video cho thấy khai thác là giả mạo. Nhiều bình luận trên YouTube xác định rằng video đã bị làm giả và không có sự khai thác hiệu quả nào được chứng minh. Sau khi những nhận xét này được đưa ra, các diễn viên đã sử dụng tài khoản Twitter thứ hai (mà họ kiểm soát) để đăng lại bài đăng gốc và khẳng định rằng đó “không phải là một video giả”.
Tweet thể hiện “chiến tích” của các diễn viên
Nhắm mục tiêu nhà nghiên cứu bảo mật
Các tác nhân đã được quan sát thấy nhắm mục tiêu vào các nhà nghiên cứu bảo mật cụ thể bằng một phương pháp kỹ thuật xã hội mới. Sau khi thiết lập thông tin liên lạc ban đầu, các tác nhân sẽ hỏi nhà nghiên cứu được nhắm mục tiêu xem họ có muốn cộng tác nghiên cứu lỗ hổng bảo mật cùng nhau không và sau đó cung cấp cho nhà nghiên cứu một Dự án Visual Studio. Bên trong Dự án Visual Studio sẽ là mã nguồn để khai thác lỗ hổng, cũng như một DLL bổ sung sẽ được thực thi thông qua Sự kiện xây dựng Visual Studio. DLL là phần mềm độc hại tùy chỉnh sẽ bắt đầu giao tiếp ngay lập tức với các miền C2 do tác nhân kiểm soát. Ví dụ về VS Build Event có thể được nhìn thấy trong hình ảnh bên dưới.
Lệnh Visual Studio Build Events được thực thi khi tạo các tệp VS Project được cung cấp
Ngoài việc nhắm mục tiêu người dùng thông qua kỹ thuật xã hội, chúng tôi cũng đã quan sát thấy một số trường hợp các nhà nghiên cứu đã bị xâm phạm sau khi truy cập blog của các diễn viên. Trong mỗi trường hợp này, các nhà nghiên cứu đã theo một liên kết trên Twitter đến một bài viết được lưu trữ trên blog.br0vvnn[.]io, và ngay sau đó, một dịch vụ độc hại đã được cài đặt trên hệ thống của nhà nghiên cứu và một cửa hậu trong bộ nhớ sẽ bắt đầu báo hiệu cho một máy chủ điều khiển và lệnh do tác nhân sở hữu. Vào thời điểm những lần truy cập này, hệ thống nạn nhân đang chạy các phiên bản trình duyệt Chrome và Windows 10 đã được vá đầy đủ và cập nhật. Tại thời điểm này, chúng tôi không thể xác nhận cơ chế xâm phạm, nhưng chúng tôi hoan nghênh mọi thông tin mà người khác có thể có. Các lỗ hổng bảo mật của Chrome, bao gồm cả những lỗ hổng đang được khai thác trong môi trường hoang dã (ITW), đủ điều kiện để nhận phần thưởng theo Chương trình phần thưởng về lỗ hổng bảo mật của Chrome. Chúng tôi khuyến khích bất kỳ ai phát hiện ra lỗ hổng Chrome nên báo cáo hoạt động đó thông qua quy trình gửi VRP của Chrome.
Những tác nhân này đã sử dụng nhiều nền tảng để giao tiếp với các mục tiêu tiềm năng, bao gồm Twitter, LinkedIn, Telegram, Discord, Keybase và email. Chúng tôi cung cấp danh sách các tài khoản và bí danh đã biết bên dưới. Nếu bạn đã giao tiếp với bất kỳ tài khoản nào trong số này hoặc truy cập blog của các diễn viên, chúng tôi khuyên bạn nên xem lại hệ thống của mình để biết IOC được cung cấp bên dưới. Cho đến nay, chúng tôi chỉ thấy những tác nhân này nhắm mục tiêu vào hệ thống Windows như một phần của chiến dịch này.
Nếu bạn lo lắng rằng bạn đang bị nhắm mục tiêu, chúng tôi khuyên bạn nên phân chia các hoạt động nghiên cứu của mình bằng cách sử dụng các máy vật lý hoặc máy ảo riêng biệt để duyệt web chung, tương tác với những người khác trong cộng đồng nghiên cứu, chấp nhận tệp từ bên thứ ba và nghiên cứu bảo mật của riêng bạn.
Các trang web và tài khoản do tác nhân kiểm soát
Blog nghiên cứu https: //blog.br0vvnn[.]ioTài khoản Twitter twitter.com/br0vvnn twitter.com/BrownSec3Labs twitter.com/dev0exp twitter.com/djokovic808 twitter.com/henya290 twitter.com/james0x40 twitter.com/m5t0r twitter.com/mvp4p3r twitter.com/tjrim91 twitter.com/z0x55g Tài khoản LinkedIn www.linkedin.com/in/billy-brown-a6678b1b8/ www.linkedin.com/in/guo-zhang-b152721bb/ www.linkedin.com/in/hyungwoo-lee-6985501b9/ www.linkedin.com/in/linshuang-li-aa696391bb/ www.linkedin.com/in/rimmer-trajan-2806b21bb/Keybase keybase.io/zhangguo Telegram t.me/james50d Băm mẫu www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection (VS Project DLL) www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection (VS Project DLL) www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection (VS Project Dropped DLL) www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection (VS Project Dropped DLL) www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection (Dịch vụ DLL) Miền C2: Do kẻ tấn công sở hữu angeldonationblog[.]com codevexillium[.]tổ chức đầu tư[.]de krakenfolio[.]com opsonew3org[.]sg người vận chuyển[.]io transplugin[.]io Miền C2: Hợp pháp nhưng được thỏa hiệp cúp[.]com www.colasprint[.]com www.dronerc[.]nó www.edujikim[.]com www.fabioluciani[.]com URL C2 https[:]// angeldonationblog[.]com / image / upload / upload.php https[:]// codevexillium[.]org / image / download / download.asp https[:]// đầu tư[.]de / upload / upload.asp https[:]// transplugin[.]io / upload / upload.asp https[:]//www.dronerc[.]it / forum / uploads / index.php https[:]//www.dronerc[.]it / shop_testbr / Core / upload.php https[:]//www.dronerc[.]it / shop_testbr / upload / upload.php https[:]//www.edujikim[.]com / intro / blue / insert.asp https[:]//www.fabioluciani[.]com / es / include / include.asp http[:]// cúplab[.]com / thông báo / hình ảnh / gia hạn / upload.asp http[:]//www.colasprint[.]com / _vti_log / upload.asp
Máy chủ IOC
Khóa đăng ký
HKLM SOFTWARE Microsoft Windows CurrentVersion KernelConfig
HKLM SOFTWARE Microsoft Windows CurrentVersion DriverConfig
HKCU SOFTWARE Microsoft Windows CurrentVersion Run SSL Update
Đường dẫn tệp
C: Windows System32 Nwsapagent.sys
C: Windows System32 helpvc.sys
C: ProgramData USOShared uso.bin
C: ProgramData VMware vmnat-update.bin
C: ProgramData VirtualBox update.bin
Nguồn: Google
Đánh giá
Comments