Google: beveiligingsonderzoekers doelwit van gerichte aanvallen
Beveiligingsonderzoekers van verschillende bedrijven en organisaties zijn het doelwit van een gerichte aanvalscampagne geweest, zo stelt Google. De aanvallen zijn volgens het techbedrijf uitgevoerd door een groep aanvallers die zich in Noord-Korea bevindt en door de overheid daar wordt gesteund.
Om legitiem over te komen maakten de aanvallers verschillende blogs over beveiligingsonderzoek. Ook werden verschillende Twitteraccounts aangemaakt om met de onderzoekers te communiceren. De aanvallers publiceerden allerlei beveiligingsonderzoek op hun blog, alsmede gastartikelen van nietsvermoedende onderzoekers. In één geval demonstreerden de aanvallers op YouTube een exploit voor een kwetsbaarheid in Windows Defender. Het ging echter om een nepvideo.
Naast Twitter werden ook LinkedIn, Telegram, Discord, Keybase en e-mail gebruikt om met de doelwitten te communiceren. Zo vroegen de aanvallers of de onderzoekers wilden samenwerken aan beveiligingsonderzoek naar een kwetsbaarheid, waarbij het doelwit een Visual Studio Project ontving. Dit project bevatte niet alleen broncode om de betreffende kwetsbaarheid te misbruiken, maar ook een dll-bestand dat malware was.
Naast deze vorm van social engineering is Google ook bekend met verschillende gevallen waarbij onderzoekers na een bezoek aan het blog van de aanvallers met malware besmet raakten. Google stelt dat de systemen van de slachtoffers op het moment van de aanval volledig gepatchte versies van Windows 10 en Chrome draaiden. Dat zou duiden op een zerodaylek, maar Google heeft de manier waarop de onderzoekers werden besmet nog niet kunnen achterhalen.
Beveiligingsonderzoekers die zich zorgen over dergelijke aanvallen maken wordt aangeraden om hun onderzoeksactiviteiten te compartimenteren via gescheiden fysieke of virtuele machines voor normaal internetgebruik, het ontvangen van bestanden van derde partijen, contact met andere beveiligingsonderzoekers en het eigen beveiligingsonderzoek.
Klinkt als een social engineering aanval zoals XSS code in foto bestanden op het blog. Alleen noscript doet daar iets tegen, maar dan laad de foto niet. Dit vermoede ontstaat bij mij ook omdat de overige aanvallen duiden op social engineering aanvallen met VBS code, wat ook veel gebruikt word in excel (en overige OLE file) malware en omdat de aanvallen werken op fully patched systems and browsers.
Zerodays zijn niet nodig, wel heel eng.
- RAMLETHAL
Ik dacht dat als ze het al gebruikten, dan toch minstens op van het Internet geisoleerde stand-alone machines.
Welke security onderzoekers waren dit dan? Dark Matter adepten i.p.v. Noord-Koreaanse statelijke actoren?
Telemetrie uitgeschakeld, zeker die van MS en Google Analytics?
Het USA sprookjesboek, sla maar weer een bladzij om a.u.b.
Overal luisteren de security-kindertjes met roodgloeiende oortjes.
Toch weer niet die Ruzzians, verrassend.
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
