אתמול גוגל פרסמו בבלוג שלהם [1], שצוות TAG (Threat Analysis Group) זיהו מתקפה שמכוונת כלפי חוקרי אבטחת מידע (אנשי מחקר ופיתוח), ההשערה היא כי ארגון מדיני עומד מאחורי המתקפה (צפון קוריאה). התוקפים השתמשו במספר פרופילים חברתיים בטוויטר, לינקדין, יוטיוב ועוד לקדם את התוכן שלהם (לזכות לנראות) וניסו ליצור קשר עם אנשי מחקר ופיתוח מהתחום.
התוקפים השתמשו בשני ווקטורי תקיפה:
- יצירת קשר עם הקורבן והצעה לעבודה בשיתוף פעולה, אם וכאשר הקרובן הסכים לשת"פ הם יחלקו איתו פרוייקט ב-Visual Studio שמכיל חולשה שטוענת DLL בזמן שהפרוייקט נבנה.
- יש דיווחים שגם משתמשים שביקרו בבלוג של התוקפים blog.br0vvnn[.]io נפלו קורבן, אפילו כאשר השתמשו בחלונות 10 ודפדפן כרום מעודכנים. הצוות של גוגל לא הצליח לאשש את ווקטור תקיפה זה.
Actor controlled sites and accounts
Research Blog
https://blog.br0vvnn[.]io
Twitter Accounts
https://twitter.com/br0vvnn
https://twitter.com/BrownSec3Labs
https://twitter.com/dev0exp
https://twitter.com/djokovic808
https://twitter.com/henya290
https://twitter.com/james0x40
https://twitter.com/m5t0r
https://twitter.com/mvp4p3r
https://twitter.com/tjrim91
https://twitter.com/z0x55g
LinkedIn Accounts
https://www.linkedin.com/in/billy-brown-a6678b1b8/
https://www.linkedin.com/in/guo-zhang-b152721bb/
https://www.linkedin.com/in/hyungwoo-lee-6985501b9/
https://www.linkedin.com/in/linshuang-li-aa696391bb/
https://www.linkedin.com/in/rimmer-trajan-2806b21bb/
Keybase
https://keybase.io/zhangguo
Telegram
https://t.me/james50d
Sample Hashes
https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection (VS Project DLL)
https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection (VS Project DLL)
https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection (VS Project Dropped DLL)
https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection (VS Project Dropped DLL)
https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection (Service DLL)
C2 Domains: Attacker-Owned
angeldonationblog[.]com
codevexillium[.]org
investbooking[.]de
krakenfolio[.]com
opsonew3org[.]sg
transferwiser[.]io
transplugin[.]io
C2 Domains: Legitimate but Compromised
trophylab[.]com
www.colasprint[.]com
www.dronerc[.]it
www.edujikim[.]com
www.fabioluciani[.]com
C2 URLs
https[:]//angeldonationblog[.]com/image/upload/upload.php
https[:]//codevexillium[.]org/image/download/download.asp
https[:]//investbooking[.]de/upload/upload.asp
https[:]//transplugin[.]io/upload/upload.asp
https[:]//www.dronerc[.]it/forum/uploads/index.php
https[:]//www.dronerc[.]it/shop_testbr/Core/upload.php
https[:]//www.dronerc[.]it/shop_testbr/upload/upload.php
https[:]//www.edujikim[.]com/intro/blue/insert.asp
https[:]//www.fabioluciani[.]com/es/include/include.asp
http[:]//trophylab[.]com/notice/images/renewal/upload.asp
http[:]//www.colasprint[.]com/_vti_log/upload.asp
Host IOCs
Registry Keys
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverConfig
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSL Update
File Paths
C:\Windows\System32\Nwsapagent.sys
C:\Windows\System32\helpsvc.sys
C:\ProgramData\USOShared\uso.bin
C:\ProgramData\VMware\vmnat-update.bin
C:\ProgramData\VirtualBox\update.bin
קישורים: