朝鮮黑客開始社工國內安全研究員,小心中招

在過去的幾個月中，谷歌威脅分析小組（Threat Analysis Group）確定了一個持續的社工活動，該活動針對從事漏洞研究和開發的安全研究員，並認定該組織總部位於朝鮮。該組織建立了一個博客和多個Twitter帳戶，用來與潛在目標進行互動並建立聯繫。這些Twitter帳號會發布所謂的「漏洞利用」視頻，同時用其他的tweeter帳號轉發，增加可信度。然後放上博客連結。在這個博客連結裡包含一些writeup和已公開披露的漏洞分析文章，還有一些其他安全研究員的帖子，試圖讓這個帳號看起來更「正常」一點。在訪問黑客控制的博客後，會被連結到blog.br0vvnn [。] io上託管的文章。隨後，研究人員的系統上就會被安裝惡意服務，並且內存後門將指向黑客的命令和控制伺服器。值得注意的是，在上述攻擊過程中，受害系統使用的是最新Windows 10系統和打過補丁的Chrome瀏覽器。但是仍然被黑客攻擊成功。
2021年1月14日，黑客通過Twitter分享了一段視頻，聲稱可以利用CVE-2021-1647（一個最近修復的Windows Defender漏洞）。在視頻中，他們聲稱成功利用該漏洞，並生成了cmd.exe shell，但仔細檢查該視頻後發現該漏洞是假的。在大家質疑該視頻為假視頻後，該黑客還用另一個Twitter帳戶來轉發原帖子，並聲稱該帖子「不是假冒視頻」。此外，黑客還會利用這個假帳號詢問安全研究員是否希望在漏洞研究方面進行合作（目前國內已經有不少安全研究員收到私信），然後提供一個包含惡意代碼和DLL的Visual Studio項目。DLL是自定義惡意軟體，它將立即開始與參與者控制的C2域進行通信。下圖顯示了VS Build Event的示例。該組織的黑客已使用多個平臺與潛在目標進行通信，包括Twitter、LinkedIn、Telegram、Discord、Keybase和電子郵件。目前發現，這個黑客組織只針對Windows系統。如果擔心自己會成為目標，建議使用單獨的物理機或虛擬機來進行研究活動，以進行常規的Web瀏覽及研究。下面為目前已知的黑客帳戶和別名的列表。如果您已與這些帳戶中的任何一個進行了交流或訪問了參與者的博客，我們建議您查看下面提供的IOC。

研究博客

https：//blog.br0vvnn [。] io

https://twitter.com/br0vvnn

https://twitter.com/BrownSec3Labs

https://twitter.com/dev0exp

https://twitter.com/djokovic808

https://twitter.com/henya290 

https://twitter.com/james0x40

https://twitter.com/m5t0r

https://twitter.com/mvp4p3r

https://twitter.com/tjrim91

https://twitter.com/z0x55g

https://www.linkedin.com/in/billy-brown-a6678b1b8/

https://www.linkedin.com/in/guo-zhang-b152721bb/

https://www.linkedin.com/in/hyungwoo-lee-6985501b9/

https://www.linkedin.com/in/linshuang-li-aa696391bb/

https://www.linkedin.com/in/rimmer-trajan-2806b21bb/

https://keybase.io/zhangguo

https://t.me/james50d

樣本哈希https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection（VS Project DLL）

https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection（VS Project DLL）https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection（VS項目已刪除DLL）https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection（VS項目已刪除DLL）

https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection（Service DLL）

angeldonationblog [。] com

codevexillium [。] org

investbooking [。] de

krakenfolio [。] com

opsonew3org [。] sg

transferwiser [。] io

transplugin [。] io

trophylab [。] com

www.colasprint [。] com

www.dronerc [。] it

www.edujikim [。] com

www.fabioluciani [。] com

https [：] // angeldonationblog [。] com / image / upload / upload.php

https [：] // codevexillium [。] org / image / download / download.asp

https [：] // investbooking [。] de / upload / upload.asp

https [：] // transplugin [。] io / upload / upload.asp

https [：] // www.dronerc [。] it / forum / uploads / index.php

https [：] // www.dronerc [。] it / shop_testbr / Core / upload.php

https [：] // www.dronerc [。] it / shop_testbr / upload / upload.php

https [：] // www.edujikim [。] com / intro / blue / insert.asp

https [：] // www.fabioluciani [。] com / es / include / include.asp

http [：] // trophylab [。] com / notice / images / renewal / upload.asp

http [：] // www.colasprint [。] com / _vti_log / upload.asp

註冊表項：

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ KernelConfig

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ DriverConfig

HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ SSL更新 

文件路徑：

C：\ Windows \ System32 \ Nwsapagent.sys

C：\ Windows \ System32 \ helpsvc.sys

C：\ ProgramData \ USOShared \ uso.bin

C：\ ProgramData \ VMware \ vmnat-update.bin

C：\ ProgramData \ VirtualBox \ update.bin