Security Experten im Visier
Rapid7: Staatlich geförderte Bedrohungsakteure zielen auf Sicherheitsforscher ab
Social-Engineering-Kampagne gegen Security-Forscher
Am Montag, dem 25. Januar 2021, veröffentlichte die Threat Analysis Group (TAG) von Google einen Blog über eine weit verbreitete Social-Engineering-Kampagne , die sich an Security-Forscher richtete, die an der Erforschung und Entwicklung von Sicherheitslücken arbeiten. Die Kampagne, die Google den staatlich geförderten nordkoreanischen Akteuren (DVRK) zuschrieb, ist seit mehreren Monaten aktiv und hat versucht, Forscher mit verschiedenen Methoden zu kompromittieren.
Auch bei Rapid7 waren viele Sicherheitsforscher ein potentielles Ziel dieser Kampagne. Obwohl Rapid7 derzeit noch keine detaillierten Beweise dafür hat, dass ihre Experten kompromittiert wurden, untersucht Rapid7 weiterhin verschiedenste Protokolle und Systeme, auf eines der in der Google-Analyse aufgeführten IOCs.
Dieses Ereignis ist das jüngste in einer Reihe von hoch entwickelten Angriffen, die bereits auf SonicWall, VMware, Mimecast, Malwarebytes, Microsoft, Crowdstrike und SolarWinds angesetzt wurden. Dies zeigt einen signifikanten Anstieg der Bedrohungsaktivität gegen Cyber Security-Unternehmen. Szenarien wie diese, sollten daher ein Standardbestandteil von generellen Strategieüberlegungen und aktiven Verteidigungsplänen werden.
Social-Engineering-Kampagne mit Nordkorea-Attributen
Google stellte fest, dass die DPRK-Bedrohungsakteure, durch die Einrichtung eines Blogs zur Schwachstellenforschung und mehrerer Twitter-Profile, für die Interaktion mit potenziellen Zielen, eine entsprechende Glaubwürdigkeit aufgebaut hatten. Sie veröffentlichten Videos ihrer mutmaßlichen Exploits, darunter ein YouTube-Video eines gefälschten Proof-of-Concept-Exploits (PoC) für CVE-2021-1647 – eine angeblich hochkarätige Zero-Day-Sicherheitsanfälligkeit für Windows Defender , die sowohl von Sicherheitsforschern als auch von der Medien aufgenommen wurden. Die Akteure der DVRK veröffentlichten zudem in ihrem Blog auch „Gast“ -Forschungen (wahrscheinlich von anderen Forschern plagiiert), um ihren Ruf weiter auszubauen.
Laut Google verwendeten die böswilligen Akteure zwei Methoden, um Social-Engineering-Ziele dazu zu bringen, Malware zu akzeptieren oder eine bösartige Website zu besuchen. Nach dem Aufbau der ersten Kommunikation fragten die Akteure den Zielforscher, ob sie bei der Schwachstellenforschung zusammenarbeiten möchten, und stellten dem Forscher dann ein Visual Studio-Projekt zur Verfügung. Innerhalb des Visual Studio-Projekts befanden sich Quellcodes zum Ausnutzen der Sicherheitsanfälligkeit sowie eine zusätzliche vorkompilierte Bibliothek (DLL), die über Visual Studio-Build-Ereignisse ausgeführt wurde. Bei der DLL handelt es sich um benutzerdefinierte Malware, die sofort mit der Kommunikation, mit von Akteuren gesteuerten Befehls- und Steuerungsdomänen (C2), begann.
Google hat neben dem Social Engineering auch in mehreren Fälle beobachtet, dass Forscher nach dem Besuch des Blogs der Akteure kompromittiert wurden. In jedem dieser Fälle folgten die Forscher einem Link auf Twitter zu einem Artikel, der auf blog[.]br0vvnn[.]io gehostet wurde und dadurch kurz darauf ein böswilliger Dienst auf dem System des Forschers installiert wurde, sowie eine speicherinterne Hintertür, die mit dem Kommunikationsaustausch zu dem Kontrollserver des Akteurs startete. Zum Zeitpunkt dieser Besuche liefen auf den Opfersystemen vollständig gepatchte und aktuelle Windows 10- und Chrome-Browserversionen. Bis zum 26. Januar 2021 konnte Google einen möglichen Kompromittierungs-Mechanismus nicht bestätigen.
Der Blog, mit dem die DPRK-Bedrohungsakteure diesen Zero-Day-Drive-by-Angriff ausgeführt haben, wurde bereits vor drei Monaten auf Reddit veröffentlicht. Die Akteure nutzten auch eine Reihe von Social Media- und Kommunikationsplattformen, um mit ihren Opfern zu interagieren – darunter Telegramm, Keybase, Twitter, LinkedIn und Discord.
Zum 26. Januar 2021 wurden viele dieser Profile ausgesetzt oder deaktiviert. Die Bedrohungsinformationen von Google enthalten alle Informationen zu IOCs, Befehls- und Kontrolldomänen, von den Akteuren kontrollierte Social Media-Konten und gefährdete Domäne, die im Rahmen der Kampagne verwendet wurden.
Das MDR-Team von Rapid7 setzt diese IOCs, sowie verhaltensbasierte Detection-Services ein. Diese Services werden auch den InsightIDR-Kunden demnächst zur Verfügung stehen.
Es wurde zudem festgestellt, dass die Akteure bisher nur auf Windows-Systeme abzielten. Am Abend des 25. Januar 2021 bestätigten Forscher vieler Unternehmen auf Twitter, dass sie mit den Akteuren der DVRK interagiert und / oder den bösartigen Blog besucht hatten. Organisationen, die glauben, dass ihre Forscher oder andere Mitarbeiter gezielt angesprochen wurden, sollten interne Untersuchungen durchführen, um festzustellen, ob in ihren Netzwerken, Indikatoren einer Kompromittierung vorhanden sind.