2021年1月末までに、Googleの脅威分析チームは、北朝鮮のハッカー集団がオンラインのセキュリティ研究者をターゲットにしており、特に脆弱性やエクスプロイトに取り組んでいる研究者を探していたことを明らかにしました。

現在、マイクロソフト社は、最近発表された報告書の中で、同社も北朝鮮のハッキング・チームを追跡していることを確認しています。

マイクロソフト、北朝鮮のハッキンググループを追跡

Microsoft Security Blogに掲載された報告書の中で、MicrosoftのThreat Intelligenceチームは、北朝鮮に関連するハッキンググループに関する知識を詳述しています。マイクロソフトはこのハッカーグループを "Zinc "として追跡し、他のセキュリティ研究者はより有名な "Lazarus "を選択した

関連記事：最も悪名高い組織的なサイバー犯罪の一団

GoogleとMicrosoftの報告書では、現在進行中のキャンペーンは、セキュリティ研究者にバックドアを含むファイルを送る前に、ソーシャルメディアを使って通常の会話を始めると説明されています。

このハッキングチームは、複数のTwitterアカウント（およびLinkedIn、Telegram、Keybase、Discordなどのプラットフォーム）を運営し、合法的なセキュリティニュースを徐々に投稿していたため、信頼できるソースとしての評判を高めていました。一定期間経過後、参加者が管理するアカウントがセキュリティ研究者に接触し、研究内容に関する具体的な質問をするのです。

セキュリティ研究者が反応した場合、ハッカー集団は会話をdiscordや電子メールなど別のプラットフォームに移そうとします。

新しい通信方法が確立されると、脅威の参加者は、セキュリティ研究者が内容を分析せずにコードを実行することを期待して、侵害されたvisualstudioプロジェクトを送信します。

関連：バックドアとは、どのようなもので、何をするものなのか？

北朝鮮のハッキングチームは、visualstudioプロジェクトの悪意のあるDLLを標準的なデータベースファイルに置き換えるなど、難読化するために最善を尽くした。

Googleのレポートによると、悪意のあるバックドアだけが攻撃方法ではないとのことです。

ソーシャルエンジニアリングによってユーザーを狙うだけでなく、行為者のブログを閲覧した研究者が危険にさらされるケースも複数確認されています。これらのケースではいずれも、研究者がTwitterでblog.br0vvnn[.]ioでホストされている書き込みへのリンクをたどり、その後まもなく、悪意のあるサービスが研究者のシステムにインストールされ、インメモリバックドアが行為者が所有するコマンド＆コントロールサーバへのビーコンを開始するというものでした。

マイクロソフトは、「Chromeの脆弱性がブログで悪用された可能性が高い」と考えていますが、両研究グループともまだ確認していません。また、マイクロソフトとグーグルの両社は、攻撃経路を完成させるためにゼロデイエクスプロイトが使用されたと考えています。

セキュリティ研究者向け

このような攻撃の直接的な脅威は、セキュリティ研究者である。このキャンペーンは、特に脅威の検出や脆弱性の研究に携わるセキュリティ研究者を対象としている。

このような高度な標的型攻撃でよく見られるように、一般市民への脅威は低いままです。ただし、ブラウザやアンチウイルスプログラムを常に最新の状態に保つこと、ソーシャルメディア上のランダムなリンクをクリックしたりフォローしたりしないことは、良いアイデアです。