Google’ın Tehdit Analizi Grubu (TAG), Kuzey Kore hükümeti sponsorluğundaki bilgisayar korsanlarının sahte Twitter ve LinkedIn sosyal medya hesaplarını kullanan güvenlik araştırmacılarını bir kez daha hedeflediğini söylüyor.
Hackerlar ayrıca SecuriElite (Türkiye’de bulunan) adlı sahte bir şirket için bir web sitesi oluşturdular ve Google güvenlik ekibi 17 Mart’ta keşfedilen devlet destekli bilgisayar korsanlarını yakalamaya odaklanırken, sözde saldırgan güvenlik hizmetleri sunuyorlardı.
Kuzey Koreli Hackerların Hesapları Devre Dışı Bırakıldı
Kuzey Koreli bilgisayar korsanları tarafından oluşturulan ve bu yeni kampanyayla ilişkilendirilen tüm LinkedIn ve Twitter hesapları Google tarafından bildirildi ve artık devre dışı bırakıldı.
Ocak 2021’de tespit edilen saldırılarda olduğu gibi, bu site aynı zamanda saldırganların, sayfayı açarken bir tarayıcı istismarını tetikledikten sonra güvenlik araştırmacılarına kötü amaçlı yazılım bulaştırmak için yem olarak kullanılan PGP açık anahtarını da barındırıyordu.
Tehdit Analizi Grubu’ndan Adam Weidemann, “Şu anda, yeni saldırgan web sitesinin kötü amaçlı içerik sunduğunu gözlemlemedik, ancak bunu Google Güvenli Tarama’ya bir önlem olarak ekledik.” dedi.
Faaliyetlerine dayanarak, bu aktörlerin tehlikeli olduğuna ve muhtemelen 0 günü daha fazla olduğuna inanmaya devam ediyoruz.
“Bir Chrome güvenlik açığını keşfeden herkesi, bu etkinliği Chrome Güvenlik Açıkları Ödül Programı gönderim süreci aracılığıyla bildirmeye teşvik ediyoruz.“
Ocak ayında, Kuzey Kore devlet korsanları, Lazarus Grubu’nun “güvenlik araştırmacısı” sosyal medya kişileri kullanarak sosyal mühendislik saldırılarında güvenlik araştırmacılarını hedef aldığını izledi.
Saldırganlar, kötü amaçlı Visual Studio Projeleri ve hedeflenen araştırmacıların bilgisayarlarına arka kapılar yüklemek için tasarlanmış güvenlik açığından yararlanma kitlerini barındıran kötü amaçlı bir web sitesine bağlantılar gönderdi.
Tamamen yamalanmış Windows 10 bilgisayarları kullanan ve en son Google Chrome sürümünü çalıştıran bazı araştırmacılar saldırılardan etkilenmiş, bu da bilgisayar korsanlarının hedeflerin cihazlarını tehlikeye atmak için sıfırıncı gün güvenlik açıklarını kullandıklarını gösteriyor.
Bir ek Internet Explorer sıfırıncı gün kendi güvenlik araştırmacıları başarısız saldırılarından sonra Güney Koreli siber güvenlik firması Enki tarafından keşfedilmiştir.
Microsoft ayrıca saldırıyı da izlediklerini ve Lazarus operatörlerinin araştırmacılara kötü amaçlı JavaScript içeren MHTML dosyalarını gönderdiğini gördüklerini bildirdi.
