朝鲜黑客开始社工国内安全研究员,小心中招

发布者:Editor
发布于:2021-01-27 18:19

在过去的几个月中,谷歌威胁分析小组(Threat Analysis Group)确定了一个持续的社工活动,该活动针对从事漏洞研究和开发的安全研究员,并认定该组织总部位于朝鲜。


该组织建立了一个博客和多个Twitter账户,用来与潜在目标进行互动并建立联系。这些Twitter账号会发布所谓的“漏洞利用”视频,同时用其他的tweeter账号转发,增加可信度。然后放上博客链接。在这个博客链接里包含一些writeup和已公开披露的漏洞分析文章,还有一些其他安全研究员的帖子,试图让这个账号看起来更“正常”一点。



在访问黑客控制的博客后,会被链接到blog.br0vvnn [。] io上托管的文章。随后,研究人员的系统上就会被安装恶意服务,并且内存后门将指向黑客的命令和控制服务器。


值得注意的是,在上述攻击过程中,受害系统使用的是最新Windows 10系统和打过补丁的Chrome浏览器。但是仍然被黑客攻击成功。


2021年1月14日,黑客通过Twitter分享了一段视频,声称可以利用CVE-2021-1647(一个最近修复的Windows Defender漏洞)。在视频中,他们声称成功利用该漏洞,并生成了cmd.exe shell,但仔细检查该视频后发现该漏洞是假的。


在大家质疑该视频为假视频后,该黑客还用另一个Twitter帐户来转发原帖子,并声称该帖子“不是假冒视频”。


此外,黑客还会利用这个假账号询问安全研究员是否希望在漏洞研究方面进行合作(目前国内已经有不少安全研究员收到私信),然后提供一个包含恶意代码和DLL的Visual Studio项目。DLL是自定义恶意软件,它将立即开始与参与者控制的C2域进行通信。下图显示了VS Build Event的示例。



该组织的黑客已使用多个平台与潜在目标进行通信,包括Twitter、LinkedIn、Telegram、Discord、Keybase和电子邮件。


目前发现,这个黑客组织只针对Windows系统。如果担心自己会成为目标,建议使用单独的物理机或虚拟机来进行研究活动,以进行常规的Web浏览及研究。


下面为目前已知的黑客帐户和别名的列表。如果您已与这些帐户中的任何一个进行了交流或访问了参与者的博客,我们建议您查看下面提供的IOC。


研究博客

https://blog.br0vvnn [。] io


Twitter帐户

https://twitter.com/br0vvnn

https://twitter.com/BrownSec3Labs

https://twitter.com/dev0exp

https://twitter.com/djokovic808

https://twitter.com/henya290 

https://twitter.com/james0x40

https://twitter.com/m5t0r

https://twitter.com/mvp4p3r

https://twitter.com/tjrim91

https://twitter.com/z0x55g


LinkedIn帐户

https://www.linkedin.com/in/billy-brown-a6678b1b8/

https://www.linkedin.com/in/guo-zhang-b152721bb/

https://www.linkedin.com/in/hyungwoo-lee-6985501b9/

https://www.linkedin.com/in/linshuang-li-aa696391bb/

https://www.linkedin.com/in/rimmer-trajan-2806b21bb/


键库

https://keybase.io/zhangguo


电报

https://t.me/james50d


样本哈希https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection(VS Project DLL)

https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection(VS Project DLL)https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection(VS项目已删除DLL)https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection(VS项目已删除DLL)

https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection(Service DLL)


C2域:攻击者拥有

angeldonationblog [。] com

codevexillium [。] org

investbooking [。] de

krakenfolio [。] com

opsonew3org [。] sg

transferwiser [。] io

transplugin [。] io


C2域:合法但受到损害

trophylab [。] com

www.colasprint [。] com

www.dronerc [。] it

www.edujikim [。] com

www.fabioluciani [。] com


C2网址

https [:] // angeldonationblog [。] com / image / upload / upload.php

https [:] // codevexillium [。] org / image / download / download.asp

https [:] // investbooking [。] de / upload / upload.asp

https [:] // transplugin [。] io / upload / upload.asp

https [:] // www.dronerc [。] it / forum / uploads / index.php

https [:] // www.dronerc [。] it / shop_testbr / Core / upload.php

https [:] // www.dronerc [。] it / shop_testbr / upload / upload.php

https [:] // www.edujikim [。] com / intro / blue / insert.asp

https [:] // www.fabioluciani [。] com / es / include / include.asp

http [:] // trophylab [。] com / notice / images / renewal / upload.asp

http [:] // www.colasprint [。] com / _vti_log / upload.asp


主机IOC

注册表项:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ KernelConfig

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ DriverConfig

HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ SSL更新 


文件路径:

C:\ Windows \ System32 \ Nwsapagent.sys

C:\ Windows \ System32 \ helpsvc.sys

C:\ ProgramData \ USOShared \ uso.bin

C:\ ProgramData \ VMware \ vmnat-update.bin

C:\ ProgramData \ VirtualBox \ update.bin



公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com



声明:该文观点仅代表作者本人,转载请注明来自看雪