Nordkoreanische Hacker weiten ihre Angriffe auf die Sicherheitsgemeinschaft aus

Cyber Security News

Eine nordkoreanische Spionagekampagne, die es auf Sicherheitsforscher abgesehen hat, hat eine weitere Wendung genommen, indem sie eine neue gefälschte Firma, Website und Social-Media-Konten erstellt hat, um Opfer anzulocken, so Google.

Die Threat Analysis Group (TAG) des Tech-Riesen entdeckte die Kampagne erstmals im Januar. Damals startete die Bedrohungsgruppe einen Forschungsblog, zu dem sie Links über gefälschte Social-Media-Profile auf LinkedIn, Twitter und Keybase postete.

Dann wandte sie sich an Forscher in der Cybersicherheits-Community und fragte, ob sie an Projekten mitarbeiten wollten. Sie würden entweder Backdoor-Malware erhalten oder auf eine mit Malware verseuchte Blog-Site verwiesen.

Mitte März beobachteten TAG-Analysten jedoch, dass die Gruppe eine gefälschte Sicherheitsfirma, “SecuriElite”, mit einer eigenen Website ins Leben gerufen hatte.

“Die neue Website behauptet, dass es sich um eine offensive Sicherheitsfirma mit Sitz in der Türkei handelt, die Pen-Tests, Software-Sicherheitsbewertungen und Exploits anbietet. Wie bei früheren Websites, die wir von diesem Akteur gesehen haben, hat diese Website einen Link zu ihrem öffentlichen PGP-Schlüssel am unteren Rand der Seite”, erklärt Adam Weidemann von TAG.

“Im Januar berichteten die Zielforscher, dass der PGP-Schlüssel, der auf dem Blog des Angreifers gehostet wurde, als Köder diente, um die Website zu besuchen, auf der ein Browser-Exploit darauf wartete, ausgelöst zu werden.”

Neben der Website hat die nordkoreanische Gruppe einige weitere gefälschte Social-Media-Profile erstellt, die sich sowohl auf Sicherheitsforscher als auch auf nicht existierende Rekrutierer für AV-Unternehmen beziehen. Eines heißt fälschlicherweise “Trend Macro” und nicht die legitime Firma Trend Micro.

Obwohl die gefälschte Sicherheitsfirma Website noch nicht serviert Malware zu denen, die sie besuchen, die Gruppe selbst bedeutet Geschäft, Google gewarnt.

“Nach unserem Blog-Beitrag im Januar haben Sicherheitsforscher diese Akteure erfolgreich identifiziert, indem sie einen Internet Explorer Zero-Day verwendeten. Aufgrund ihrer Aktivitäten gehen wir weiterhin davon aus, dass diese Akteure gefährlich sind und wahrscheinlich weitere Zero-Days haben”, so Weidemann abschließend.

“Wir ermutigen jeden, der eine Chrome-Schwachstelle entdeckt, diese Aktivität über den Meldeprozess des Chrome Vulnerabilities Rewards Program zu melden.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com