Il Threat Analysis Group (TAG) di Google ha scoperto nuovi attacchi effettuati da cybercriminali nordcoreani contro i ricercatori di sicurezza, sfruttando vulnerabilità zero-day di popolari software. Gli esperti dell’azienda di Mountain View pubblicheranno i dettagli tecnici quando saranno disponibili le patch.
Contatti via X e Mastodon
Il TAG di Google aveva già individuato una simile campagna, sponsorizzata dal governo nordcoreano, all’inizio del 2021. A distanza di oltre due anni e mezzo, gli stessi autori hanno effettuato simili attacchi. Le vulnerabilità zero-day, sfruttate dai cybercriminali, sono state segnalate alle rispettive software house.
I cybercriminali hanno contattato i ricercatori di sicurezza su X e Mastodon, in modo da avviare una presunta collaborazione. In un caso, la conversazione è durata oltre un mese. Dopo aver guadagnato la loro fiducia, i cybercriminali hanno chiesto ai ricercatori di continuare la conversazione su WhatsApp, Signal o Wire. Successivamente è stato inviato un file con l’exploit che sfrutta la vulnerabilità zero-day del software.
Il payload (shellcode) verifica se è in esecuzione una macchina virtuale e quindi invia le informazioni raccolte (inclusi gli screenshot) al server C2 (command and control). I cybercriminali hanno inoltre usato il tool open source GetSymbol per Windows (pubblicato su GitHub e successivamente rimosso) che dovrebbe scaricare i simboli di debugging da Microsoft, Google, Mozilla e Cytrix. In realtà è stato usato per scaricare ed eseguire codice arbitrario sul computer delle vittime.
Come detto, Google ha segnalato le vulnerabilità alle software house. L’azienda di Mountain View ha inoltre aggiunto siti web e domini all’elenco di Safe Browsing e avvisato gli utenti scelti come target, consigliando di attivare la funzionalità Enhanced Safe Browsing di Chrome e installare gli aggiornamenti di sicurezza.