【安全圈】微软：朝鲜黑客可能利用Chrome漏洞攻击研究人员

今天，微软透露，他们也一直在监视针对漏洞研究人员的针对性攻击，并将这些攻击归因于一个名为“Zinc”的朝鲜黑客组织。

本周早些时候，谷歌透露，一个由朝鲜政府支持的黑客组织一直在使用社交网络来瞄准安全研究人员。

作为攻击的一部分，攻击者会要求研究人员合作进行漏洞研究，然后尝试使用自定义的后门恶意软件感染其计算机。

微软追踪黑客组织为ZINC

微软在一份新报告中指出，在过去的几个月中，由于黑客针对渗透测试人员，安全研究人员以及技术和安全公司的员工，他们也一直在追踪该黑客，他们被称为“ ZINC”。其他研究人员以众所周知的名称“ Lazarus”跟踪该黑客组织。

“最近几个月，Microsoft检测到由我们跟踪为ZINC的演员针对安全研究人员的网络攻击。最初，该活动在Microsoft Defender for Endpoint检测到正在进行的攻击后引起了我们的注意。观察到的目标包括渗透测试人员，个人安全研究人员和安全和技术公司的员工。”

微软威胁情报中心团队在一份声明中说：“微软威胁情报中心（MSTIC）高度自信地将这一活动归功于朝鲜和国家赞助的ZINC小组ZINC，它基于观察到的贸易手段，基础架构，恶意软件模式和帐户隶属关系。”

根据Microsoft的研究，ZINC参与者于2020年中开始运营，方法是转发安全内容并发布有关漏洞的研究，以建立在线Twitter安全研究员角色。

然后，黑客会使用受其控制的Twitter帐户来宣传这些推文。这种策略使该组织在安全漏洞研究领域赢得了声誉，并建立了包括“杰出安全研究人员”在内的追随者。

ZINC威胁参与者的Twitter活动

作为攻击的一部分，ZINC参与者将与研究人员联系，以就漏洞进行合作并利用研究成果。正如Google先前报道的那样，对于那些同意的研究人员，ZINC将发送一个包含恶意DLL的Visual Studio项目，该漏洞将在研究人员编译该项目时执行。

此DLL将导致安装后门恶意软件，该恶意软件将使攻击者能够检索信息并在计算机上执行命令。

“通过此后门，黑客可以执行远程命令来枚举文件/目录和正在运行的进程，并收集/上载有关目标设备的信息，包括IP地址，计算机名称和NetBIOS。此外，我们观察到一些快捷键，在键盘的动作来枚举所有文件/目标磁盘上的目录，创建截图，并部署额外的模块”来自微软的报告。

Microsoft还观察到了其他攻击方法

除了恶意的Visual Studio项目之外，Microsoft还看到ZINC使用其他方法攻击安全专业人员。

正如Google报告中已经解释的那样，仅通过在完全修补的系统和最新的Google Chrome浏览器上访问该黑客的网站，就可以感染某些人。Google不确定访问者如何受到损害，但怀疑使用零日漏洞。

微软指出，该黑客在其网站上共享了一个博客文章的链接，其中包含使用“ 0天或补丁漏洞利用”的漏洞利用工具包 。

《黑客组织DOS2RCE：利用V8 NULL指针解除引用Bug的新技术》博客文章 由该黑客与2020年10月14日在Twitter上分享。从2020年10月19日至21日，未联系或发送过一些研究人员ZINC配置文件中的所有文件，都在使用Chrome浏览器时单击了链接，之后不久在其计算机上导致已知的ZINC恶意软件。

“这表明Chrome浏览器漏洞利用链可能托管在博客上，尽管我们无法证明这一点。由于受害者的某些浏览器已被完全修补，因此也怀疑但未经证实，漏洞利用链使用了0天或 补丁 漏洞利用”。

ZINC使用的其他攻击方法包括：

将博客文章作为MHTML文件分发，这些文件可以返回执行恶意JavaScript的ZINC控制域。尝试在名为Vir.IT eXplorer的防病毒产品的漏洞驱动程序中利用CVE-2017-16238漏洞。Microsoft声明这些尝试失败。部署Chrome密码窃取程序。

 END

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！