Google waarschuwt security-onderzoekers voor Noord-Koreaanse hackers

De Threat Analysis Group (TAG) schrijft de campagne toe aan een door de overheid gesteunde entiteit in Noord-Korea en waarschuwt de gemeenschap van security-onderzoekers om voorzichtig en waakzaam te blijven in de omgang met personen die ze nog niet eerder hebben gesproken.

Volgens de TAG hebben de hackers om meer geloofwaardigheid op te bouwen onder meer een blog opgezet en Twitter-profielen aangemaakt om zo in contact te komen met potentiële doelwitten. De profielen delen links naar hun blog en retweeten en liken elkaars berichten.

Nep-exploit voor CVE-2021-1647

De doelwitten worden uitgenodigd voor een samenwerking in onderzoek naar kwetsbaarheden. Wie vervolgens een toegestuurd bestand opent dat moet doorgaan voor een broncode, krijgt malware. De hackers melden op hun blog dat ze exploits voor kwetsbaarheden hebben, maar volgens TAG is minimaal één daarvan niet echt. Het gaat in dit geval om CVE-2021-1647, een recent gepatchte kwetsbaarheid.

Naast Twitter zijn er in het verleden ook andere platforms gebruikt om in aanraking te komen met doelwitten, waaronder LinkedIn, Telegram, Discord, Keybase en e-mail. TAG heeft een lijst met accounts gedeeld die betrokken waren bij het ‘lokken’ van doelwitten.