Google: Северокорейские хакеры атакуют исследователей в сфере информационной безопасности

[душман]

Специалисты подразделения Google Threat Analysis Group предупреждают о том, что группа хакеров предположительно при поддержке правительства Северной Кореи продолжает атаковать исследователей в сфере информационной безопасности. Они предлагают им сотрудничество от имени поддельной компании по кибербезопасности, а в процессе взаимодействия внедряют вредоносное программное обеспечение на компьютеры жертв.

Деятельность этой группировки впервые привлекла внимание исследователей из Google TAG в январе этого года. В сообщении говорится о том, что для организации своей деятельности хакеры создали сеть профилей в разных социальных сетях, в том числе Twitter, LinkedIn и Keybase. Злоумышленники от имени несуществующей компании по кибербезопасности связываются с исследователями и предлагают сотрудничество, в процессе которого отправляют им файлы, содержащие вредоносный код.

«Чтобы связаться с исследователями в сфере информационной безопасности и завоевать их доверие, злоумышленники создали исследовательский блог и несколько профилей в Twitter для взаимодействия с потенциальными жертвами. Они используют созданные в Twitter профили для размещения ссылок на свой блог, публикации видео и ретвита сообщений из других учётных записей, находящихся под их контролем», — говорится в сообщении специалистов TAG.

После установления контакта с потенциальными жертвами злоумышленники отправляют им вредоносный проект Visual Studio, содержащий бэкдор. Кроме того, они могут попросить посетить свой блог, наполненный вредоносным кодом, в том числе эксплойтами браузера. Исследователи говорят о том, что с момента первого обнаружения хакеры изменили тактику, создав 17 марта поддельную компанию SecureElite, которая якобы базируется в Турции и работает в сфере информационной безопасности. 

В результате в сети появился ещё один вредоносный сайт, а в социальных сетях были созданы новые профили, ссылающиеся на него. Согласно имеющимся данным, исследователи из TAG уведомили социальные сети о всех выявленных профилях, которые принадлежат злоумышленникам. Вероятно, в ближайшее время они будут заблокированы.