朝鲜黑客以安全专家为目标，窃取未披露的研究成果

谷歌周一披露了一项由朝鲜政府支持的威胁行动方正在进行的行动的细节，该行动的目标是从事漏洞研究和开发的安全研究人员。

这家互联网巨头的威胁分析小组（TAG）表示，对手在Twitter、LinkedIn、Telegram、Discord和Keybase等各种社交媒体平台上创建了一个研究博客和多个个人资料，以与研究人员沟通并建立信任。

其目的似乎是窃取研究人员针对可能未公开的漏洞开发的漏洞，从而允许他们对自己选择的易受攻击目标发动进一步的攻击。

TAG研究人员亚当·魏德曼（Adam Weidemann）说：“他们的博客包含对公开披露的漏洞的评论和分析，包括不知情的合法安全研究人员的‘访客’帖子，可能是为了与其他安全研究人员建立更多的可信度。”。

攻击者创建了多达10个虚假Twitter角色和5个LinkedIn个人资料，用于与研究人员互动、共享漏洞视频、转发其他攻击者控制的帐户，以及共享指向他们声称的研究博客的链接。

在一个例子中，这位演员利用Twitter分享了一段YouTube视频，该视频声称是对最近修补的Windows Defender漏洞（CVE-2021-1647）的攻击，而实际上，该攻击是假的。

据称，朝鲜黑客还使用了一种“新的社会工程方法”攻击安全研究人员，询问他们是否愿意合作进行漏洞研究，然后向目标个人提供Visual Studio项目。

该Visual Studio项目除了包含利用该漏洞的源代码外，还包括一个自定义恶意软件，该软件与远程命令和控制（C2）服务器建立通信，以便在受损系统上执行任意命令。

卡巴斯基研究人员Costin Raiu在一条推文中指出，通过该项目交付的恶意软件与Manuscrypt（又名FAILCHILL或Volgmer）在代码级别上具有相似性，Manuscrypt是Lazarus Group部署的一个已知Windows后门。

此外，TAG表示，它还观察到了几例研究人员在访问研究博客后被感染的案例，随后在机器上安装了恶意服务，内存后门将开始指向C2服务器。

由于受害系统运行的是经过全面修补的Windows 10和Chrome web浏览器的最新版本，具体的破坏机制仍不得而知。但有人怀疑，威胁参与者可能利用Windows 10和Chrome中的零日漏洞来部署恶意软件。

魏德曼说：“如果你担心自己会成为攻击目标，我们建议你使用单独的物理或虚拟机来划分你的研究活动，用于一般的网络浏览、与研究社区中的其他人互动、接受第三方的文件以及你自己的安全研究。”。

更新（2021年1月28日）：微软发布有关此活动的更多信息

这家Windows制造商表示，这场运动始于2020年年中，当时对手“开始在Twitter上通过转发高质量的安全内容，并在一个由参与者控制的博客上发布关于漏洞利用研究的帖子，在安全研究社区建立声誉”

微软对恶意DLL（被称为“卷土重来者”）的分析还显示，该组织试图通过频繁更改文件名、文件路径和导出函数，通过静态泄露指标（IOC）逃避检测。该公司表示：“当Microsoft Defender for Endpoint检测到反击方DLL试图执行进程权限升级时，我们第一次收到了攻击警报。”。

还不止这些。由于一些研究人员仅仅通过在运行Windows 10和Chrome浏览器的完全修补系统上访问该网站就感染了病毒，该公司怀疑该博客上存在利用零天或补丁间隙漏洞的Chrome漏洞链，从而导致了这一妥协。

“一篇题为DOS2RCE：一种利用V8空指针解引用错误的新技术研究人员说，“该演员于2020年10月14日在Twitter上分享了这一消息。”从2020年10月19日至21日，一些研究人员在使用Chrome浏览器时点击了链接，很快就在他们的机器上发现了已知的锌恶意软件。这些研究人员没有通过Zn profiles联系或发送任何文件。"