image

Google: beveiligingsonderzoekers doelwit van gerichte aanvallen

dinsdag 26 januari 2021, 09:34 door Redactie, 2 reacties

Beveiligingsonderzoekers van verschillende bedrijven en organisaties zijn het doelwit van een gerichte aanvalscampagne geweest, zo stelt Google. De aanvallen zijn volgens het techbedrijf uitgevoerd door een groep aanvallers die zich in Noord-Korea bevindt en door de overheid daar wordt gesteund.

Om legitiem over te komen maakten de aanvallers verschillende blogs over beveiligingsonderzoek. Ook werden verschillende Twitteraccounts aangemaakt om met de onderzoekers te communiceren. De aanvallers publiceerden allerlei beveiligingsonderzoek op hun blog, alsmede gastartikelen van nietsvermoedende onderzoekers. In één geval demonstreerden de aanvallers op YouTube een exploit voor een kwetsbaarheid in Windows Defender. Het ging echter om een nepvideo.

Naast Twitter werden ook LinkedIn, Telegram, Discord, Keybase en e-mail gebruikt om met de doelwitten te communiceren. Zo vroegen de aanvallers of de onderzoekers wilden samenwerken aan beveiligingsonderzoek naar een kwetsbaarheid, waarbij het doelwit een Visual Studio Project ontving. Dit project bevatte niet alleen broncode om de betreffende kwetsbaarheid te misbruiken, maar ook een dll-bestand dat malware was.

Naast deze vorm van social engineering is Google ook bekend met verschillende gevallen waarbij onderzoekers na een bezoek aan het blog van de aanvallers met malware besmet raakten. Google stelt dat de systemen van de slachtoffers op het moment van de aanval volledig gepatchte versies van Windows 10 en Chrome draaiden. Dat zou duiden op een zerodaylek, maar Google heeft de manier waarop de onderzoekers werden besmet nog niet kunnen achterhalen.

Beveiligingsonderzoekers die zich zorgen over dergelijke aanvallen maken wordt aangeraden om hun onderzoeksactiviteiten te compartimenteren via gescheiden fysieke of virtuele machines voor normaal internetgebruik, het ontvangen van bestanden van derde partijen, contact met andere beveiligingsonderzoekers en het eigen beveiligingsonderzoek.

Reacties (2)
26-01-2021, 21:26 door Anoniem
Qoute "Naast deze vorm van social engineering is Google ook bekend met verschillende gevallen waarbij onderzoekers na een bezoek aan het blog van de aanvallers met malware besmet raakten. Google stelt dat de systemen van de slachtoffers op het moment van de aanval volledig gepatchte versies van Windows 10 en Chrome draaiden."


Klinkt als een social engineering aanval zoals XSS code in foto bestanden op het blog. Alleen noscript doet daar iets tegen, maar dan laad de foto niet. Dit vermoede ontstaat bij mij ook omdat de overige aanvallen duiden op social engineering aanvallen met VBS code, wat ook veel gebruikt word in excel (en overige OLE file) malware en omdat de aanvallen werken op fully patched systems and browsers.

Zerodays zijn niet nodig, wel heel eng.

- RAMLETHAL
26-01-2021, 23:06 door Anoniem
Onderzoekers die op Windows 10 zitten (kuch)? Zitten die niet liever in een open source omgeving dan?
Ik dacht dat als ze het al gebruikten, dan toch minstens op van het Internet geisoleerde stand-alone machines.

Welke security onderzoekers waren dit dan? Dark Matter adepten i.p.v. Noord-Koreaanse statelijke actoren?
Telemetrie uitgeschakeld, zeker die van MS en Google Analytics?

Het USA sprookjesboek, sla maar weer een bladzij om a.u.b.
Overal luisteren de security-kindertjes met roodgloeiende oortjes.
Toch weer niet die Ruzzians, verrassend.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.