Twitter har stängt av konton som tillhör en nordkoreansk hackergrupp riktad mot säkerhetsforskare.
De sociala mediernas konton, @lagal1990 och @shiftrows13, avbröts den här månaden efter att ha “poserat som säkerhetsforskare”, enligt Google Threat Analysis Group (TAG) -analytiker Adam Weidermann, som tillade att profilerna “lutade sig till hypen om 0-dagar för att få följare och bygga trovärdighet. “
Som noterats av Threatpost stängdes ett annat konto, @lagal1990, av samma anledning i augusti.
Kampanjen, som antas vara ett arbete som utförs av statligt sponsrade nordkoreanska cyberattacker, har spårats av Google TAG-teamet under det senaste året.
Kampanjen, som först dokumenterades i januari 2021, innehåller skapandet av ett nätverk av falska profiler på plattformar inklusive Twitter, LinkedIn, Keybase och GitHub.
De falska profilerna rider på intresse för exploater och nolldagars buggar för att skapa en aura av trovärdighet och kommer att lägga upp innehåll som exempelvis proof-of-concept (PoC) kod och utnyttja tekniker.
Enligt Weidermann hittades de falska kontona av forskarna Francisco Alonso och Javier Marcos.
“Vi (TAG) bekräftade att dessa är direkt relaterade till kluster av konton vi bloggade om tidigare i år”, kommenterade Weidermann. “I fallet @lagal1990 bytte de namn på ett GitHub -konto som tidigare ägdes av en annan av deras Twitter -profiler som stängdes av i augusti, @mavillon1.”
Kontoklustret används för att nå sina avsedda mål, inklusive välkända och trovärdiga säkerhetsforskare. En forskningsblogg publicerades också online, och videor har laddats upp online som påstår sig vara bevis på bedrifter och buggar.
“De har använt dessa Twitter -profiler för att lägga upp länkar till sin blogg, lägga upp videor av deras påståenden, och för att förstärka och retweeta inlägg från andra konton som de kontrollerar”, säger Google TAG.
Men när kommunikationen väl har upprättats frågar den nordkoreanska gruppen sedan sina mål om de är intresserade av att samarbeta kring säkerhetsforskning.
Länkar skickas sedan till forskare till en blogg som innehåller webbläsarexperter, inklusive en Internet Explorer-noll-dag maskerad i januari. Alternativt kan de också skickas en skadlig Visual Studio -projektfil som innehåller en bakdörr, vilket ger angriparna inträde i offrets maskin – och informationen i den.
I mars skapade gruppen ett falskt turkiskt offensivt säkerhetsföretag vid namn SecuriElite, med ett parti profiler kopplade till detta företag som låtsades bestå av cybersäkerhetsforskare och rekryterare.
Förra veckan dokumenterade Google TAG ansträngningar för att motverka attacker från APT35, en iransk grupp som specialiserat sig på nätfiske-kampanjer mot högriskanvändare av Google, inklusive kampanjpersonal under valet i USA 2020.
Tidigare och relaterad täckning
Google: Nordkoreanska hackare riktar sig till forskare genom falska offensiva säkerhetsföretag
Google: Vi skickar ut mycket fler varningar om nätfiske och attacker mot skadlig kod – här är varför
Google: Nordkoreanska hackare har riktat in sig på säkerhetsforskare via sociala medier
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Google Security TV Data Management CXO Data Center 