Sustabdomos „Twitter“ paskyros, susijusios su kibernetinėmis atakomis prieš saugumo tyrėjus

  • Oct 20, 2023

Šiaurės Korėjos įsilaužėliai vilioja profesionalus „nulinės dienos pažeidžiamumo ažiotažu“.

„Twitter“ sustabdė paskyras, priklausančias Šiaurės Korėjos įsilaužėlių grupei, nukreiptai prieš saugumo tyrėjus.

Saugumas

  • 8 labai saugių nuotolinių darbuotojų įpročiai
  • Kaip rasti ir pašalinti šnipinėjimo programas iš savo telefono
  • Geriausios VPN paslaugos: kaip palyginti 5 geriausius?
  • Kaip sužinoti, ar esate susijęs su duomenų pažeidimu – ir ką daryti toliau

Pasak „Google Threat Analysis Group“ (TAG) analitiko Adamo Weidermanno, socialinių tinklų paskyros @lagal1990 ir @shiftrows13 šį mėnesį buvo sustabdytos, nes „apsimetė saugumo tyrinėtojais“. kas pridūrė kad profiliai „pasirėmė 0 dienų ažiotažu, kad įgytų pasekėjų ir padidintų patikimumą“.

Kaip pažymėjo Grėsmių postas, kita paskyra, @lagal1990, buvo uždaryta dėl tos pačios priežasties rugpjūčio mėn.

Šią kampaniją, kuri, kaip manoma, buvo valstybės remiamų Šiaurės Korėjos kibernetinių užpuolikų darbas, per pastaruosius metus stebėjo Google TAG komanda.

Pirmą kartą dokumentuota 2021 m. sausio mėn, kampanija apima netikrų profilių tinklo kūrimą įvairiose platformose, įskaitant Twitter, LinkedIn, Keybase ir GitHub.

Netikrieji profiliai yra susiję su susidomėjimu išnaudojimais ir nulinės dienos klaidomis, kad sukurtų patikimumo aurą, ir bus paskelbtas toks turinys, kaip koncepcijos įrodymo (PoC) kodas ir išnaudojimo būdai.

Weidermanno teigimu, netikras paskyras rado tyrinėtojai Francisco Alonso ir Javieras Marcosas.

„Mes (TAG) patvirtinome, kad tai yra tiesiogiai susiję su paskyrų grupe, apie kurią rašėme anksčiau šiais metais“, – sakė Weidermannas. pakomentavo. „@lagal1990 atveju jie pervadino GitHub paskyrą, kuri anksčiau priklausė kitam jų Twitter profiliui, kuris buvo uždarytas rugpjūtį, @mavillon1.

Sąskaitų grupė naudojama norint pasiekti numatytus tikslus, įskaitant gerai žinomus ir patikimus saugumo tyrinėtojus. Tyrimo tinklaraštis taip pat buvo paskelbtas internete, o internete buvo įkelti vaizdo įrašai, kuriuose teigiama, kad tai yra išnaudojimų ir klaidų įrodymas.

„Jie naudojo šiuos „Twitter“ profilius skelbdami nuorodas į savo tinklaraštį, skelbdami vaizdo įrašus, kuriuose pateikiamos pretenzijos išnaudojimus ir įrašams iš kitų jų valdomų paskyrų sustiprinti ir pakartotinai skelbti“, „Google TAG“ sako.

Tačiau užmezgus ryšį, Šiaurės Korėjos grupė klausia savo taikinių, ar jie yra suinteresuoti bendradarbiauti atliekant saugumo tyrimus.

Tada tyrėjams siunčiamos nuorodos į tinklaraštį, kuriame yra naršyklės išnaudojimų, įskaitant „Internet Explorer“ nulinės dienos demaskuotą sausį. Arba jiems taip pat gali būti išsiųstas kenkėjiškas „Visual Studio“ projekto failas, kuriame yra užpakalinės durys, leidžiančios užpuolikams patekti į aukos kompiuterį ir jame esančią informaciją.

Kovo mėnesį grupė sukūrė netikrą turkų kalbą įžeidžianti apsaugos įmonė pavadinta „SecuriElite“, su daugybe profilių, susietų su šia įmone, apsimetančia, kad ją sudaro kibernetinio saugumo tyrinėtojai ir verbuotojai.

Praėjusią savaitę „Google TAG“ dokumentavo pastangas atremti atakas nuo APT35, Irano grupė, besispecializuojanti sukčiavimo kampanijose prieš didelės rizikos „Google“ naudotojus, įskaitant kampanijos darbuotojus per 2020 m. JAV rinkimus.

Ankstesnė ir susijusi informacija

  • „Google“: Šiaurės Korėjos įsilaužėliai taikosi į tyrėjus per netikrą įžeidžiančią apsaugos įmonę
  • „Google“: siunčiame daug daugiau įspėjimų apie sukčiavimą ir kenkėjiškų programų atakas – štai kodėl
  • „Google“: Šiaurės Korėjos įsilaužėliai socialinėje žiniasklaidoje nusitaikė į saugumo tyrėjus

Turite patarimą? Saugiai susisiekite per WhatsApp | Signalas +447713 025 499 arba per Keybase: charlie0