朝鲜黑客攻击安全研究人员

1月25日，谷歌Threat Analysis Group研究人员发布报告分析了使用社交网络来攻击安全人员，并用定制的后门恶意软件来感染安全研究人员计算机的朝鲜黑客组织。

攻击活动概述

过去几个月，谷歌Threat Analysis Group研究人员发现了一个攻击不同企业和组织的进行漏洞研究和研发的安全研究人员的攻击活动。研究人员分析发现该攻击活动背后的攻击者是朝鲜的政府背景的黑客。

为了确保真实性以及与安全研究人员进行联系，黑客开通了一个研究博客和多个推特账户。黑客使用推特账户来发布其博客的链接，发布所谓的漏洞利用视频，并转发他们控制的其他账户发布的推特。

黑客控制的4个推特账户@z0x55g、@james0x40、@br0vvnn和 @BrownSec3Labs 如下所示：

其博客中含有之前公布的漏洞分析和writer-up，其中还包含一些不知情的合法安全研究人员的研究成果（博文，非授权转载），可能是尝试与其他安全研究人员建立信任。

博客中关于漏洞分析的截图如下所示：

研究人员也无法验证这些漏洞利用视频的真实性以及目前的状态，但是研究人员发现其中有伪造的视频。比如1月21日，攻击者在推特上分析了一个YouTube视频，称成功利用了CVE-2021-1647 漏洞。在视频中，攻击者成功利用该漏洞派生出了一个cmd.exe shell，但研究人员仔细检查发现该漏洞利用（视频）是假的。YouTube视频下有许多评论称该视频是假的，而且并没有证明漏洞利用。然后，攻击者又使用了另一个其控制的推特账户来转发原始推特消息，并称该视频是真实的。

证明攻击者漏洞利用成功性的推特如下所示：

攻击安全研究人员

在该攻击活动中，攻击者使用了新型的社会工程方法来攻击特定的安全研究人员。在建立了初始沟通后，攻击者会询问目标研究人员（受害者）是否想一起进行漏洞研究，然后提供给受害者一个Visual Studio Project。该project是漏洞利用的源代码，以及一个通过Visual Studio Build Events 执行的DLL。该DLL其实是一个定制的恶意软件，会与攻击者控制的C2进行通信。VS Build Event示例如下所示：

除了通过社会成功攻击定向攻击用户外，研究人员还发现又多个访问攻击者博客就被黑的案例。在这些案例中，受害者访问了推特上发布的位于blog.br0vvnn[.]io 的writeup 链接，然后，受害者系统就会被安装恶意服务，内存中运行的后门就会与攻击者控制的C2 服务器进行通信。其中受害者系统运行着最新的Windows 10系统版本和Chrome 浏览器版本。目前，谷歌研究人员还无法确认黑客入侵的机制。

在攻击活动中，研究人员使用多个平台与潜在的受害者进行通信，包括推特、领英、Telegram、Discord、Keybase和邮件。截至目前，研究人员发现攻击活动中的受害者系统只有Windows 系统。

黑客控制的网站和账户

研究博客：

https://blog.br0vvnn[.]io

推特账户：

https://twitter.com/br0vvnn

https://twitter.com/BrownSec3Labs

https://twitter.com/dev0exp

https://twitter.com/djokovic808

https://twitter.com/henya290

https://twitter.com/james0x40

https://twitter.com/m5t0r

https://twitter.com/mvp4p3r

https://twitter.com/tjrim91

https://twitter.com/z0x55g

领英账号：

https://www.linkedin.com/in/billy-brown-a6678b1b8/

https://www.linkedin.com/in/guo-zhang-b152721bb/

https://www.linkedin.com/in/hyungwoo-lee-6985501b9/

https://www.linkedin.com/in/linshuang-li-aa696391bb/

https://www.linkedin.com/in/rimmer-trajan-2806b21bb/