🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Atribuição
Campanha norte-coreana (APT38/Grupo Lazarus)Alvo
Pesquisadores de segurança (vulnerabilidade)Vetor
- Arquivo de projeto do Visual Studio transformado em arma (Vetor #1)
- Drive by attack, que baixa um sinal de backdoor na memória no host da vítima (Vetor #2)
Resumo da amostra
- As amostras fornecidas podem ser mapeadas para o vetor #1
- As amostras consistem em DLL/EXE/Configuração do Registro
Resumo
A campanha de engenharia social norte-coreana em andamento tem como alvo pesquisadores de vulnerabilidades usando identificadores falsos de mídia social especificamente no Twitter. Os atores da ameaça constroem relacionamento com os pesquisadores-alvo, convidando-os a colaborar no desenvolvimento de explorações para uma vulnerabilidade específica da escolha do atacante. Quando a vítima mostra interesse no trabalho, o atacante compartilha um arquivo de projeto do Visual Studio transformado em arma com ela. O arquivo malicioso executa o custom.dll contendo o malware que se conecta à infraestrutura C2 do atacante. Esse método de ataque é conhecido como Vector #1. Quando o atacante usa o Vector #2 como ataque direto, ele atrai as vítimas para visitar o blog br0vvnn (.) io, um serviço malicioso que é instalado no host da vítima e executa um backdoor na memória.Visão geral técnica
- Os atacantes abusam do recurso “Criar evento” no Visual Studio para atacar a vítima com um malware personalizado.
- O comando Powershell é especificado no “Evento de Construção” do arquivo de projeto VS, levando à execução do script Powershell invocando o binário rundll32 para carregar a DLL de malware e os arquivos associados na memória da máquina host.
