北韓駭客為了鎖定資安研究人員發動攻擊,特別架設了假的資安公司網站,並建立對應的推特帳號

北韓駭客為了鎖定資安研究人員發動攻擊,特別架設了假的資安公司網站,並建立對應的推特帳號

圖片來源: 

Google

資安研究人員近日成為駭客鎖定的對象,一旦資安研究人員有所疏忽而落入圈套,便很有可能導致自己的研究成果外洩,而近期駭客更看上資安研究員經常關注資安新創徵才的機會,以假的公司網站和徵才來做為幌子誘騙。Google旗下的威脅分析小組(TAG)發現,駭客組織不光只是成立資安研究員推特帳號,還架設了冒牌資安公司的網站,讓資安研究員不疑有他而上當。不過,針對資安研究人員的攻擊這並非首例,Google曾在1月揭露一起為期數個月的攻擊行動,當時駭客以漏洞研究交流的名義行騙。

而這個Google未揭露身分的駭客組織,最近又有了攻擊行動。Google於3月31日在部落格指出,這個駭客組織約在3月17日,以假的資安公司「SecuriElite」的名義,成立了冒牌資安公司網站,以及建立相關的社群網站資料。這家SecuriElite宣稱是位於土耳其的資安公司,提供滲透測試、軟體安全資產盤點,以及漏洞研究等服務。

這個駭客的資安公司網站,與之前架設的資安部落格相比,Google指出當中有個共通點,就是該冒牌資安公司網頁的最底端,同樣有PGP金鑰的連結。而這個連結的用途是什麼?根據先前Google接獲受害的研究人員通報,前述部落格的金鑰連結,駭客很可能是用來觸發瀏覽器的漏洞。

不過,Google表示,他們並未在SecuriElite網站上發現惡意內容,但為了預防萬一,該公司還是將相關網站加到自家旗下安全瀏覽服務(Google Safe Browsing)的名單中。

除了上述的冒牌資安公司網站之餘,Google指出駭客這次也同樣建立多個社群網站帳號,吸引鑽研漏洞與資安防護領域的研究人員。他們提到其中的2個LinkedIn帳號,駭客假扮成資安公司與防毒廠商的人才招聘者。這也與1月份公開的攻擊行動中,以佯稱是資安研究人員的帳號有所不同。

值得留意的是,究竟駭客如何對資安研究員發動攻擊的細節,這次Google並未進一步說明,但他們認為,駭客在上次的攻擊行動濫用未知IE漏洞,這次很有可能會運用更多未知漏洞,而使得相關攻擊也非常危險。

至於此次發動攻擊的駭客集團身分為何?Google僅表明很可能是北韓政府支持的實體,而在1月下旬公布的調查結果中,微軟點名這個駭客組織就是惡名昭彰的Zinc(又稱為Lazarus、APT38、Hidden Cobra)

熱門新聞

Advertisement