圖 1 - 嫌疑賬號(來自:Microsoft)
微軟在近日的一份新報告中指出,過去幾個月,一直有黑客試圖對技術人員和安全企業展開有針對性的攻擊,一些人猜測幕後黑手為 Zinc 或 Lazarus 組織。
起初,本輪活動被 Microsoft Defender for Endpoint 給檢測到,然後逐漸引發瞭微軟威脅情報中心(MSTIC)團隊的高度註意。
經過持續追蹤,MSTIC 認為有相當高的證據表明幕後與受朝方資助的 Zinc 黑客組織有關,此外報告中疏理出瞭攻擊者的技術手段、基礎架構、惡意軟件模式、以及和多個賬戶的隸屬關系。
圖 2 - Microsoft Defender for Endpoint 在 ComeBacker 上收集到的警告
回溯時間,微軟認為 Zinc 早在 2020 年中就開始在密謀。首先是利用 Twitter 轉發與安全漏洞研究相關的內容,為自己樹立並不斷豐滿所謂的安全研究人員角色。
然後攻擊者會利用其它受控制的傀儡賬號來與之互動,以擴大這些推文的影響力。通過一系列的運作,該組織順利地在安全圈子裡獲得瞭一定的聲譽,直至將自己捧為“傑出的安全研究人員”並吸引更多追隨者。
作為攻擊的一部分,Zinc 會假裝邀請與目標安全研究人員開展合作,但正如谷歌先前的報道那樣,受害者會收到一個被註入瞭惡意動態鏈接庫(DLL)文件的 Visual Studio 項目。
圖 3 - 基於簽名的可執行文件,被利用來執行低信譽的任意代碼。
當研究人員嘗試編譯該項目的時候,相關漏洞會被用於執行惡意代碼、通過此 DLL 安裝有後門的惡意軟件、進而在受害者計算機上檢索信息和執行任意指令。
此外微軟還揭示瞭被 Zinc 黑客組織利用的其它攻擊手段,甚至能夠在部署瞭最新系統補丁和 Google Chrome 瀏覽器上,通過訪問精心制作的黑客網站來感染部分受害者。
考慮到谷歌方面尚不確定這些受害者是如何中招的,我們暫且隻能假定攻擊者使用瞭未公開披露的零日漏洞。
留言列表
