Недавняя хакерская кампания, нацеленная на тестировщиков проникновения, частных исследователей наступательной безопасности и других работников инфосекции, была предпринята северокорейской государственной компанией Lazarus Group, сообщил Центр разведки угроз Microsoft.
Microsoft отслеживает участников угроз как ЦИНК, и, основываясь на наблюдаемых методах, вредоносных программах, используемых в атаках, и аффилированности учетных записей, ее исследователи безопасности с высокой степенью уверенности приписывают кампанию северокорейским хакерам.
Lazarus Group/ZINC активно работает по крайней мере с 2009 года и, как полагают, стоит за многими громкими и разрушительными кибератаками.
Хакеры, приписываемые северокорейской группе, включают вредоносную кампанию WannaCry, атаку Sony Pictures Entertainment wiper и кражу криптовалют с бирж.
Недавние атаки на исследователей безопасности использовали социальную инженерию и обман, и впервые об этом сообщила группа анализа угроз Google.
Помимо добавления неизвестной уязвимости нулевого дня, которая работает против полностью исправленного веб-браузера Google Chrome в блоге для установки вредоносного ПО, субъекты угроз также отправили исследователям вредоносные проекты Visual Studio с вредоносным ПО в виде готовых двоичных файлов.
К ним относятся Comebacker dynamic link library (DLL), которая пытается выполнить эскалацию привилегий для процессов, и Klackring DLL, которая регистрирует вредоносные службы на целевых машинах, сообщает Microsoft.
Другие вредоносные программы, используемые Lazarus Group/ZINC, включали заминированный веб-архив MHTML с запутанным JavaScript, который пытался извлечь неизвестную полезную нагрузку, драйвер Windows для изменения кода ядра и похититель паролей Chrome.
Как и Google TAG, Microsoft предлагает специалистам по безопасности использовать изолированные среды для обработки ненадежных файлов и ссылок.
Те, кто бывал злой блог — br0vvn точка ввода-вывода — должен немедленно выполнить полный анти-вредоносных программ сканирования.
Если какая-либо вредоносная программа, связанная с вышеизложенным, будет обнаружена, люди должны принять на себя полную компрометацию своих систем и перестроить их, заявила Microsoft.
Любая информация о пострадавших скомпрометированных машинах такого исследования безопасности могла быть скомпрометирована в ходе атак.
