Beveiligingsonderzoekers van verschillende bedrijven en organisaties zijn het doelwit van een gerichte aanvalscampagne geweest, zo stelt Google. De aanvallen zijn volgens het techbedrijf uitgevoerd door een groep aanvallers die zich in Noord-Korea bevindt en door de overheid daar wordt gesteund.
Om legitiem over te komen maakten de aanvallers verschillende blogs over beveiligingsonderzoek. Ook werden verschillende Twitteraccounts aangemaakt om met de onderzoekers te communiceren. De aanvallers publiceerden allerlei beveiligingsonderzoek op hun blog, alsmede gastartikelen van nietsvermoedende onderzoekers. In één geval demonstreerden de aanvallers op YouTube een exploit voor een kwetsbaarheid in Windows Defender. Het ging echter om een nepvideo.
Naast Twitter werden ook LinkedIn, Telegram, Discord, Keybase en e-mail gebruikt om met de doelwitten te communiceren. Zo vroegen de aanvallers of de onderzoekers wilden samenwerken aan beveiligingsonderzoek naar een kwetsbaarheid, waarbij het doelwit een Visual Studio Project ontving. Dit project bevatte niet alleen broncode om de betreffende kwetsbaarheid te misbruiken, maar ook een dll-bestand dat malware was.
Naast deze vorm van social engineering is Google ook bekend met verschillende gevallen waarbij onderzoekers na een bezoek aan het blog van de aanvallers met malware besmet raakten. Google stelt dat de systemen van de slachtoffers op het moment van de aanval volledig gepatchte versies van Windows 10 en Chrome draaiden. Dat zou duiden op een zerodaylek, maar Google heeft de manier waarop de onderzoekers werden besmet nog niet kunnen achterhalen.
Beveiligingsonderzoekers die zich zorgen over dergelijke aanvallen maken wordt aangeraden om hun onderzoeksactiviteiten te compartimenteren via gescheiden fysieke of virtuele machines voor normaal internetgebruik, het ontvangen van bestanden van derde partijen, contact met andere beveiligingsonderzoekers en het eigen beveiligingsonderzoek.
Deze posting is gelocked. Reageren is niet meer mogelijk.