Twitter heeft accounts opgeschort van een Noord-Koreaanse hackgroep die zich richt op beveiligingsonderzoekers.
De sociale media-accounts, @lagal1990 en @shiftrows13, werden deze maand opgeschort nadat ze “zich voordeden als beveiligingsonderzoekers”, aldus Adam Weidermann, analist van Google Threat Analysis Group (TAG), die eraan toevoegde dat de profielen “leunden op de hype van 0-dagen om volgers te krijgen en geloofwaardigheid op te bouwen.”
Zoals opgemerkt door Threatpost, werd een ander account, @lagal1990, in augustus om dezelfde reden gesloten.
De campagne, waarvan wordt aangenomen dat het het werk is van door de staat gesponsorde Noord-Koreaanse cyberaanvallen, is het afgelopen jaar gevolgd door het Google TAG-team.
De campagne, die voor het eerst werd gedocumenteerd in januari 2021, omvat het creëren van een netwerk van nepprofielen op verschillende platforms, waaronder Twitter, LinkedIn, Keybase en GitHub.
De nepprofielen zijn geïnteresseerd in exploits en zero-day bugs om een aura van geloofwaardigheid te creëren en zullen inhoud plaatsen zoals proof-of-concept (PoC)-code en exploit-technieken.
Volgens Weidermann werden de valse accounts gevonden door onderzoekers Francisco Alonso en Javier Marcos.
“Wij (TAG) hebben bevestigd dat deze rechtstreeks verband houden met het cluster van accounts waarover we eerder dit jaar hebben geblogd”, aldus Weidermann. “In het geval van @lagal1990 hebben ze een GitHub-account hernoemd dat voorheen eigendom was van een van hun Twitter-profielen en die in augustus werd afgesloten, @mavillon1.”
Het cluster van accounts wordt gebruikt om de beoogde doelen te bereiken, waaronder bekende en geloofwaardige beveiligingsonderzoekers. Er is ook een onderzoeksblog online gepubliceerd en er zijn online video's geüpload die beweren het bewijs te zijn van exploits en bugs.
“Ze hebben deze Twitter-profielen gebruikt voor het plaatsen van links naar hun blog, het plaatsen van video's van hun geclaimde exploits en voor het versterken en retweeten van berichten van andere accounts die ze beheren”, zegt Google TAG.
Maar zodra de communicatie eenmaal tot stand is gebracht, vraagt de Noord-Koreaanse groep hun doelwitten of ze geïnteresseerd zijn om mee te werken aan veiligheidsonderzoek.
Vervolgens worden links naar onderzoekers gestuurd naar een blog die browserexploits bevat, waaronder een zero-day-ontmaskering van Internet Explorer in januari. Als alternatief kunnen ze ook een kwaadaardig Visual Studio-projectbestand met een achterdeur ontvangen, waardoor de aanvallers toegang krijgen tot de computer van hun slachtoffer — en de daarin opgenomen informatie.
In maart heeft de groep een nep Turks offensief beveiligingsbedrijf opgericht, genaamd SecuriElite, met een reeks profielen die aan dit bedrijf zijn gekoppeld en die zich voordoen als cyberbeveiligingsonderzoekers en recruiters.
Vorige week documenteerde Google TAG inspanningen om aanvallen van APT35, een Iraanse groep die gespecialiseerd is in phishing-campagnes tegen risicovolle gebruikers van Google, tegen te gaan, inclusief campagnemedewerkers tijdens de Amerikaanse verkiezingen van 2020.
Eerdere en gerelateerde berichtgeving
Google: Noord-Koreaanse hackers richten zich op onderzoekers via nep-offensief beveiligingsbedrijf
Google: we sturen nog veel meer waarschuwingen voor phishing- en malwareaanvallen – dit is waarom
Google: Noord-Koreaanse hackers hebben zich via sociale media op beveiligingsonderzoekers gericht
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Google Security TV Data Management CXO Datacenters 