Volgens Googles Threat Analysis Group is er in de afgelopen maanden een hackcampane opgezet die gericht is op beveiligingsonderzoekers. Noord-Koreaanse staatshackers zouden achter de campagne zitten.
De staatshackers hebben het gemunt op specifieke beveiligingsonderzoekers en gebruiken vormen van social engineering. De groep heeft een blog opgezet over kwetsbaarheden en nepaccounts aangemaakt op Twitter, die zich voordoen als beveiligingsonderzoekers. Hiermee wil de groepering volgens Google TAG geloofwaardigheid opbouwen.
Beveiligingsonderzoekers die doelwit zijn, krijgen een verzoek om samen te werken aan onderzoek naar een kwetsbaarheid. De hackers sturen vervolgens een Visual Studio Project naar het doelwit, met daarin broncode voor het misbruiken van een kwetsbaarheid, maar ook een extra dll die malware bevat en uitgevoerd wordt via Visual Studio Build Events.
Op hun blog publiceren de staatshackers artikelen waarin ze claimen exploits voor kwetsbaarheden te tonen. Volgens Google is in ieder geval één daarvan nep. Dat gaat om een exploit voor CVE-2021-1647, een recent gepatchte kwetsbaarheid in Windows Defender. De staatshackers zetten op 14 januari een filmpje op Twitter en YouTube waarin ze zogenaamd een exploit toonden. In reacties op die filmpjes werd ook al door anderen opgemerkt dat er geknoeid was met de video en dat er geen werkende exploit werd gedemonstreerd.
Volgens Google zijn er ook verschillende beveiligingsonderzoekers gecompromitteerd door enkel het blog te bezoeken. Zij volgden een Twitter-link die verwees naar een artikel en kort daarna was hun systeem geïnfecteerd en werd er door de malware contact gelegd met een command and control-server. De slachtoffers zouden systemen met alle Windows 10-updates en de nieuwste Chrome-browser hebben gebruikt. Google zegt nog niet te weten hoe die aanvallen succesvol konden zijn. Mogelijk gebruikten de aanvallers hiervoor een nog onbekende kwetsbaarheid.
Google heeft een overzicht gepubliceerd van accountnamen die verbonden zouden zijn aan de hackcampagne. De aanvallers gebruiken verschillende platforms om in contact te treden met beveiligingsonderzoekers, waaronder Twitter, LinkedIn, Telegram, Discord, Keybase en e-mail. Tot nu toe zijn alleen onderzoekers met Windows-systemen aangevallen, stelt Google.