到2021年1月底，谷歌的威胁分析小组透露，一群朝鲜黑客将目标锁定在网上的安全研究人员身上，专门寻找那些致力于漏洞和漏洞利用的人。

现在，微软在最近发表的一份报告中证实，它也在追踪朝鲜黑客团队。

微软追踪朝鲜黑客组织

在微软安全博客上发布的一份报告中，微软威胁情报小组详细介绍了其对与朝鲜有关的黑客组织的了解。微软追踪黑客组织为“锌”，而其他安全研究人员则选择了更为知名的名字“拉扎鲁斯”

相关报道：最臭名昭著的有组织网络犯罪团伙

谷歌和微软的报告都解释说，正在进行的活动使用社交媒体开始与安全研究人员的正常对话，然后再向他们发送包含后门的文件。

黑客团队运行着几个Twitter账户（以及LinkedIn、Telegram、Keybase、Discord和其他平台），这些账户一直在缓慢发布合法的安全新闻，从而建立了可信来源的声誉。一段时间后，参与者控制的账户会联系到安全研究人员，询问他们关于研究的具体问题。

如果安全研究人员做出回应，黑客组织会试图将对话转移到另一个平台，比如不和或电子邮件。

一旦建立了新的通信方法，威胁参与者将发送一个受损的visualstudio项目，希望安全研究人员在不分析内容的情况下运行代码。

相关：什么是后门，它做什么？

朝鲜黑客团队竭尽全力伪装visualstudio项目中的恶意文件，用标准数据库文件替换恶意DLL，以及其他混淆方法。

根据Google的报告，恶意后门并不是唯一的攻击方法。

In addition to targeting users via social engineering, we have also observed several cases where researchers have been compromised after visiting the actors' blog. In each of these cases, the researchers have followed a link on Twitter to a write-up hosted on blog.br0vvnn[.]io, and shortly thereafter, a malicious service was installed on the researcher's system and an in-memory backdoor would begin beaconing to an actor-owned command and control server.

微软认为“一个Chrome浏览器漏洞很可能是在博客上被利用的”，尽管这两个研究小组都还没有证实。此外，微软和谷歌都相信使用零日漏洞来完成这个攻击向量。

针对安全研究人员

这种攻击的直接威胁是安全研究人员。该运动专门针对参与威胁检测和漏洞研究的安全研究人员。

正如我们经常看到的这种具有高度针对性的攻击，对公众的威胁仍然很低。然而，保持你的浏览器和防病毒程序的最新总是一个好主意，因为不是点击和跟踪社会媒体上的随机链接。