✔В Twitter забанили северокорейских хакеров, которые атаковали ИБ-исследователей - «Новости»

19 октября 2021 792 Новости / Преимущества стилей / Блог для вебмастеров / Сайтостроение / Текст / Вёрстка / Заработок 0

Еще в январе 2021 года эксперты Google предупреждали, что северокорейские хакеры атакуют ИБ-специалистов, занимающихся исследованиями уязвимостей. Выяснилось, что к специалистам применяли социальную инженерию и пытались втереться к ним в доверие, чтобы в итоге заманить на вредоносные сайты и заразить их системы малварью.

Весной текущего года в Google обнаружили продолжение данной кампании: был найден сайт фейковой ИБ-фирмы SecuriElite, а также ее учетные записи в Twitter и LinkedIn, которые были созданы той же хакерской группой. Якобы фирма находится в Турции и занимается пентестами, оценкой безопасности ПО и эксплоитами.

Злоумышленники действовали по старой схеме: планировали использовать аккаунты в социальных сетях для связи с ИБ-специалистами, чтобы заманить исследователей на свой сайт, где против них использовались бы эксплоиты для браузера.

До сих пор неизвестно, что должно было происходить после заражения. Похоже, смысл был в том, что, получив доступ к компьютерам исследователей, хакеры получали возможность найти и похитить непубличные эксплоиты и данные об уязвимостях, а также могли шпионить за работодателем пострадавшего специалиста (а ИБ-компании и правительственные учреждения — классические цели для кибершпионажа).

Теперь специалисты Twitter заблокировали две учетные записи, которыми управляли северокорейские хакеры. Учетные записи @lagal1990 и @shiftrows13 были частью этой долгой кибершпионской кампании, которая началась еще в прошлом году и, как сказано выше, была обнаружена Google.

Аналитик Google TAG Адам Вайдеманн пишет в Twitter, что эти аккаунты размещали контент, связанный с кибербезопасностью, включая PoC-эксплоиты для свежих уязвимостей, в надежде завоевать репутацию в ИБ-сообществе.

We (TAG) confirmed these are directly related to the cluster of accounts we blogged about earlier this year. In the case of lagal1990, they renamed a github account previously owned by another of their twitter profiles that was shutdown in Aug, mavillon1 pic.twitter.com/FXQ0w57tyE
— Adam (@digivector) October 15, 2021

У обоих аккаунтов было меньше 1000 подписчиков, и не совсем ясно, использовались они для установления контактов с ИБ-исследователями или еще находились на этапе набора репутации.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Компания Twitter заблокировала два аккаунта, которыми управляли северокорейские хакеры. Эти учетные записи использовались для заманивания ИБ-исследователей на вредоносные сайты. Еще в январе 2021 года эксперты Google предупреждали, что северокорейские хакеры атакуют ИБ-специалистов, занимающихся исследованиями уязвимостей. Выяснилось, что к специалистам применяли социальную инженерию и пытались втереться к ним в доверие, чтобы в итоге заманить на вредоносные сайты и заразить их системы малварью. Весной текущего года в Google обнаружили продолжение данной кампании: был найден сайт фейковой ИБ-фирмы SecuriElite, а также ее учетные записи в Twitter и LinkedIn, которые были созданы той же хакерской группой. Якобы фирма находится в Турции и занимается пентестами, оценкой безопасности ПО и эксплоитами. Злоумышленники действовали по старой схеме: планировали использовать аккаунты в социальных сетях для связи с ИБ-специалистами, чтобы заманить исследователей на свой сайт, где против них использовались бы эксплоиты для браузера. До сих пор неизвестно, что должно было происходить после заражения. Похоже, смысл был в том, что, получив доступ к компьютерам исследователей, хакеры получали возможность найти и похитить непубличные эксплоиты и данные об уязвимостях, а также могли шпионить за работодателем пострадавшего специалиста (а ИБ-компании и правительственные учреждения — классические цели для кибершпионажа). Теперь специалисты Twitter заблокировали две учетные записи, которыми управляли северокорейские хакеры. Учетные записи @lagal1990 и @shiftrows13 были частью этой долгой кибершпионской кампании, которая началась еще в прошлом году и, как сказано выше, была обнаружена Google. Аналитик Google TAG Адам Вайдеманн пишет в Twitter, что эти аккаунты размещали контент, связанный с кибербезопасностью, включая PoC-эксплоиты для свежих уязвимостей, в надежде завоевать репутацию в ИБ-сообществе. We (TAG) confirmed these are directly related to the cluster of accounts we blogged about earlier this year. In the case of lagal1990, they renamed a github account previously owned by another of their twitter profiles that was shutdown in Aug, mavillon1 pic.twitter.com/FXQ0w57tyE — Adam (@digivector) October 15, 2021 У обоих аккаунтов было меньше 1000 подписчиков, и не совсем ясно, использовались они для установления контактов с ИБ-исследователями или еще находились на этапе набора репутации.