朝鮮黑客組織正冒充三星招聘人員開展間諜活動

近日，據谷歌 TAG 研究人員報告說，與朝鮮有關聯的 APT 組織冒充三星招聘人員，這是一場魚叉式網絡釣魚活動，目標是提供惡意軟件解決方案的韓國安全公司。

谷歌TAG觀察到一個由朝鮮政府支持的黑客組織，該組織之前曾將安全研究人員偽裝成三星招聘人員，并向多家提供惡意軟件解決方案的韓國信息安全公司的員工發送虛假工作機會。” 這些電子郵件包含一份 PDF，據稱是三星某個職位的職位描述；但是，PDF 格式錯誤，無法在標準 PDF 閱讀器中打開。當目標回復他們無法打開職位描述時，攻擊者會回復一個指向惡意軟件的惡意鏈接，該鏈接聲稱是存儲在 Google Drive 中的“安全 PDF 閱讀器”，但現在已被阻止。”

攻擊者使用惡意PDF自稱是工作記錄TI針對三星的作用，因為這個原因，收件人無法打開它，并提供了一個鏈接到一個“安全的PDF閱讀器發送“ 應用程序。該應用程序存儲在 Google Drive 中，是合法 PDF 閱讀器PDFTron 的受感染版本 。安裝該應用程序后，會在受害者的設備上建立一個后門。

Zinc APT 組織（又名Lazarus）的活動，在2014年和2015年激增，其成員在攻擊中主要使用定制的惡意軟件。這個黑客組織至少從2009年開始活躍，甚至早在2007年，它參與了旨在破壞數據和破壞系統的網絡間諜活動和破壞活動

該組織被認為是大規模 WannaCry 勒索軟件攻擊、2016年的一系列SWIFT攻擊以及索尼影業黑客攻擊的罪魁禍首。攻擊者通過多個社交網絡平臺攻擊研究人員，包括Twitter、LinkedIn、Telegram、Discord和Keybase。

黑客使用虛假檔案與感興趣的研究人員取得聯系。2020年中，ZINC黑客為虛假安全研究人員創建了Twitter個人資料，用于轉發安全內容和發布有關漏洞研究的信息。使用Twitter個人資料分享他們控制下的博客鏈接，還有他們聲稱漏洞利用的視頻，以及放大和轉發來自他們控制下的其他帳戶的帖子。

建立初期通信后，他們會詢問目標安全研究人員是否希望共同進行漏洞研究，然后與其共享 Visual Studio 項目。在使用的Visual Studio項目包括利用該漏洞的源代碼以及一個額外的 DLL，該DLL將通過Visual Studio Build Events執行這是一個后門。Visual Studio項目包含一個惡意DLL，研究人員編譯該項目時會執行該 DLL。惡意代碼會導致安裝后門，允許攻擊者接管目標的計算機。

攻擊者發表了一篇名為“DOS2RCE：一種利用 V8 NULL 指針解除引用錯誤的新技術”的博客文章 ，并通過 Twitter 分享。2020年10月19日至21日期間使用Chrome瀏覽器訪問該帖子的研究人員感染了已知的ZINC惡意軟件。微軟研究人員注意到，一些受害者使用的是完全打補丁的瀏覽器，這種情況表明攻擊者使用了零日漏洞。并非該網站的所有訪問者都受到感染。

黑客還使用其他技術來針對安全專業人員，例如，在某些情況下，將博客文章作為MHTML 文件分發，其中包含一些混淆的JavaScript，這些JavaScript指向ZINC控制的域，以便進一步執行JavaScript。 

最近對韓國反惡意軟件的攻擊表明，黑客們目的就是破壞韓國安全組織的供應鏈并針對其客戶。