Twitter har suspendert kontoer tilhørende en nordkoreansk hackergruppe rettet mot sikkerhetsforskere.
De sosiale mediekontoene, @lagal1990 og @shiftrows13, ble suspendert denne måneden etter å ha “posert som sikkerhetsforskere”, ifølge Google Threat Analysis Group (TAG) -analytiker Adam Weidermann, som la til at profilene “støttet seg til 0-dagers hype for å få følgere og bygge troverdighet. “
Som nevnt av Threatpost, ble en annen konto, @lagal1990, stengt av samme grunn i august.
Kampanjen, antatt å være arbeidet til statssponserte nordkoreanske cyberangrep, har blitt sporet av Google TAG-teamet det siste året.
Kampanjen ble først dokumentert i januar 2021 og inkluderer opprettelsen av et nettverk av falske profiler på tvers av plattformer, inkludert Twitter, LinkedIn, Keybase og GitHub.
De falske profilene er interessert i bedrifter og null-dagers feil for å etablere en aura av troverdighet og vil legge ut innhold som proof-of-concept (PoC) -kode og utnytte teknikker.
Ifølge Weidermann ble de falske kontoene funnet av forskerne Francisco Alonso og Javier Marcos.
“Vi (TAG) bekreftet at disse er direkte relatert til gruppen av kontoer vi blogget om tidligere i år,” kommenterte Weidermann. “I tilfellet @lagal1990 ga de nytt navn til en GitHub -konto som tidligere var eid av en annen av deres Twitter -profiler som ble stengt i august, @mavillon1.”
Kontoklyngen brukes til å nå de tiltenkte målene, inkludert kjente og troverdige sikkerhetsforskere. En forskningsblogg ble også publisert på nettet, og videoer har blitt lastet opp på nettet som hevder å være bevis på bedrifter og feil.
“De har brukt disse Twitter -profilene for å legge ut lenker til bloggen sin, legge ut videoer av deres påståtte bedrifter og for å forsterke og retweete innlegg fra andre kontoer de kontrollerer,” sier Google TAG.
Men når kommunikasjonen er etablert, spør den nordkoreanske gruppen deretter målene sine om de er interessert i å samarbeide om sikkerhetsforskning.
Lenker blir deretter sendt til forskere til en blogg som inneholder nettleserutnyttelser, inkludert en null-dag uten maskering i Internet Explorer i januar. Alternativt kan de også få tilsendt en ondsinnet Visual Studio -prosjektfil som inneholder en bakdør, slik at angriperne får adgang til offerets maskin – og informasjonen i den.
I mars opprettet gruppen et falskt tyrkisk offensivt sikkerhetsselskap ved navn SecuriElite, med et parti profiler knyttet til dette firmaet som utga seg for å bestå av forskere og rekrutterere innen cybersikkerhet.
Forrige uke dokumenterte Google TAG innsats for å motvirke angrep fra APT35, en iransk gruppe som spesialiserer seg på phishing-kampanjer mot høyrisikobrukere av Google, inkludert kampanjeansatte under valget i USA i 2020.
Tidligere og relatert dekning
Google: Nordkoreanske hackere retter seg mot forskere gjennom et falskt offensivt sikkerhetsfirma
Google: Vi sender ut mange flere advarsler om angrep mot angrep og skadelig programvare – her er grunnen
Google: Nordkoreanske hackere har målrettet sikkerhetsforskere via sosiale medier
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Google Security TV Data Management CXO Data Centers 