警惕！一個針對安全研究人員進行攻擊的組織出現(xiàn)了

編譯：袁鈺涵丨發(fā)自 思否編輯部

---

谷歌威脅分析小組發(fā)現(xiàn)了一個攻擊活動組織，經(jīng)過幾個月的努力，確認(rèn)該活動組織是針對在不同的公司和組織中從事漏洞研究和開發(fā)的安全研究人員進行攻擊。

谷歌認(rèn)為這個活動的參與者是朝鮮網(wǎng)軍，攻擊活動成立的本身，在于實施社會工程學(xué)的人員精通漏洞分析和研究，在過去一段時間中，他們采取了多種手段來鎖定研究人員并發(fā)起攻擊，后文將會講述他們用了什么方法來鎖定研究人員。

谷歌威脅分析小組希望這篇文章能提醒安全研究界的朋友，如今他們成為了這群朝鮮政府支持派的攻擊目標(biāo)。

---

如何聯(lián)系研究人員？

為了與安全研究人員獲得聯(lián)系并騙取他們信任，該組織建立了一個研究博客以及多個 Twitter 賬號，借用以上兩者與潛在目標(biāo)進行互動。

他們用這些 Twitter 賬號發(fā)布指向博客的鏈接，同時聲稱博客中有人發(fā)現(xiàn)了漏洞并對漏洞以利用，發(fā)布了漏洞利用的視頻，用賬號之間互相轉(zhuǎn)發(fā)視頻擴大其影響力，還在其他用戶的帖子下發(fā)布這類內(nèi)容。

這個組織所擁有的 Twitter 賬號

組織建立的博客中包含了已公開披露的漏洞文章和分析，還會包含某位研究人員研究漏洞后對博客的投稿，而這些被網(wǎng)站寫出“投稿的研究人員”本人對此卻完全不知情，組織如此做可能是為了在安全研究人員中獲得更高的信任度。

組織對公開披露的漏洞進行分析的示例

盡管無法驗證他們發(fā)布的所有漏洞的真實性與工作狀態(tài)，但在組織聲稱他們發(fā)現(xiàn)了有效漏洞并使之運行時，可以知道他們所說是假的。

2021 年 1 月 14 日，組織控制的賬號通過 Twitter 分享了他們的 YouTube 視頻，視頻聲稱構(gòu)造了 CVE-2021-1647（一個最近修復(fù)的 Windows Defender 漏洞）的利用程序，讓它產(chǎn)生 cmd.exe shell，人們仔細觀看視頻后確認(rèn)這是一個虛假漏洞。

YouTube 上也有多條評論表示該視頻是虛假偽造視頻，根本沒有可利用的漏洞。

但組織不顧 You Tube 上的評論，用他們控制的其他 Twitter 帳號轉(zhuǎn)發(fā)原帖，并評論“不是假冒視頻”。

組織對多個賬號的“利用”

---

如何鎖定安全研究員？

這個組織對安全研究人員建立最初的聯(lián)系后，他們會詢問研究人員是否希望在漏洞研究方面進行合作，然后為研究人員提供 Visual Studio 項目。

Visual Studio 項目中包含利用此漏洞的源代碼，但是在編譯該 Visual Studio 項目的時候會自動生成存在惡意代碼的DLL。

DLL 是一個惡意軟件，它會與組織控制的 C2 域進行通信，下圖顯示了 VS Build Event 的示例。

生成 VS Project 文件時執(zhí)行的 Visual Studio 命令

除了通過騙取信任獲得合作等一系列行動鎖定攻擊目標(biāo)，有時該組織會直接在安全研究人員訪問其博客后馬上攻擊。

研究人員通過 Twitter 訪問 blog.br0vvnn [.] io 的文章不久后，會發(fā)現(xiàn)系統(tǒng)被安裝了惡意服務(wù)，內(nèi)存后門將開始連接到攻擊者擁有的命令和控制服務(wù)器。

受攻擊時研究人員的系統(tǒng)正在運行最新版本的 Windows 10 和 Chrome 瀏覽器版本。目前谷歌方面沒有發(fā)現(xiàn)是否為 Chrome 的 0day 漏洞。

這個組織已使用多個平臺與潛在目標(biāo)進行聯(lián)系，這些平臺包括了 Twitter，LinkedIn，Telegram，Discord，Keybase 和電子郵件。

谷歌威脅分析小組在下面提供已知的組織帳戶和別名，如果已與這些帳戶中的任何一個進行了交流，或直接訪問了他們的博客，就要小心了。

如果擔(dān)心自己會成為目標(biāo)，谷歌威脅分析小組建議使用單獨的物理機或虛擬機來進行研究活動。

---

組織控制的網(wǎng)站和帳戶

研究博客

https://blog.br0vvnn[.]io

Twitter 帳戶

• https://twitter.com/br0vvnn
• https://twitter.com/BrownSec3...
• https://twitter.com/dev0exp
• https://twitter.com/djokovic808
• https://twitter.com/henya290
• https://twitter.com/james0x40
• https://twitter.com/m5t0r
• https://twitter.com/mvp4p3r
• https://twitter.com/tjrim91
• https://twitter.com/z0x55g

LinkedIn 帳戶

• https://www.linkedin.com/in/billy-brown-a6678b1b8/
• https://www.linkedin.com/in/guo-zhang-b152721bb/
• https://www.linkedin.com/in/hyungwoo-lee-6985501b9/
• https://www.linkedin.com/in/linshuang-li-aa696391bb/
• https://www.linkedin.com/in/rimmer-trajan-2806b21bb/

Keybase

https://keybase.io/zhangguo

Telegram

https://t.me/james50d

樣本 Hash

• https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection?(VS Project DLL)
• https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection?(VS Project DLL)
• https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection(VS Project Dropped DLL)
• https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection(VS Project Dropped DLL)
• https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection(Service DLL)

攻擊者擁有的域名

• angeldonationblog[.]com
• codevexillium[.]org
• investbooking[.]de
• krakenfolio[.]com
• opsonew3org[.]sg
• transferwiser[.]io
• transplugin[.]io

攻擊者通過入侵后控制的域名

• trophylab[.]com
• www.colasprint[.]com
• www.dronerc[.]it
• www.edujikim[.]com
• www.fabioluciani[.]com

C2 URLs

• https[:]//angeldonationblog[.]com/image/upload/upload.php
• https[:]//codevexillium[.]org/image/download/download.asp
• https[:]//investbooking[.]de/upload/upload.asp
• https[:]//transplugin[.]io/upload/upload.asp
• https[:]//www.dronerc[.]it/forum/uploads/index.php
• https[:]//www.dronerc[.]it/shop_testbr/Core/upload.php
• https[:]//www.dronerc[.]it/shop_testbr/upload/upload.php
• https[:]//www.edujikim[.]com/intro/blue/insert.asp
• https[:]//www.fabioluciani[.]com/es/include/include.asp
• http[:]//trophylab[.]com/notice/images/renewal/upload.asp
• http[:]//www.colasprint[.]com/_vti_log/upload.asp

主機 IOC

Registry Keys

• HKLMSOFTWAREMicrosoftWindowsCurrentVersionKernelConfig
• HKLMSOFTWAREMicrosoftWindowsCurrentVersionDriverConfig
• HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunSSL Update

文件路徑

• C:WindowsSystem32Nwsapagent.sys
• C:WindowsSystem32helpsvc.sys
• C:ProgramDataUSOShareduso.bin
• C:ProgramDataVMwarevmnat-update.bin
• C:ProgramDataVirtualBoxupdate.bin

此文是翻譯，閱讀原文：

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

---

-?END -