被 Lazarus 的杀猪盘盯上是什么体验
2023-9-13 08:8:37 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

上周四 Google TAG 的报告很多人应该已经看过了。拖到现在才转发还是因为懒得上网。

https://blog.google/threat-analysis-group/active-north-korean-campaign-targeting-security-researchers/

韩国北边的那个国家这几年一直在针对网上做安全研究的社区搞杀猪盘:

套路就是建立社交账号,疯狂转发技术文章混社区。接着撒网私信骗取信任,以合作分析等为名发送恶意文件。甚至还搞过在盗版 IDA Pro 里放后门。值得一提的是之前中国内地已经有过中招的人。

除了安全的圈子,这伙人在币圈也尝试过很多攻击,据说获利颇丰。

七月份 GitHub 又曝光了他们疯狂在 nodejs 的 npm 包管理上传恶意代码投毒:

https://github.blog/2023-07-18-security-alert-social-engineering-campaign-targets-technology-industry-employees/#indicators

这帮人真是,好烦啊。

这次的手法还是跟 GitHub 有关。攻击者在 GitHub 上注册了 dbgsymbol 的用户名(已被封禁,archive.org 有镜像),写了个“工具”号称可以帮助 Windows 开发者更方便地下载调试符号。

实际上工具里有一个“自动更新”的典型下载者后门逻辑,运行后会下发执行真正的恶意程序。

目前对应的 GitHub 账号和仓库都已经下线,但是那个所谓的官网截止目前还在。友情建议不要好奇去访问,天知道这伙人有没有偷到浏览器的 0day。


这伙人显然是有针对性地找目标。主要上网套近乎开杀猪盘的就是这个 Paul091_ 的 X(前小蓝鸟)账号。

从 Google 报告刚发出来到账号被封,中间隔了几个小时。上去看了一眼,哇。这个 Follows you 说明,有足足 455 个大冤种的目标清单,我也在里面。

不是吧,我这半桶水都不放过?不过 Paul 并没有联系我,很有可能是看到了我的嘲讽……

几个月前就发现了一些不对劲的账号,至于是不是就是这个 Paul 记不清了。最致命的弱点是,杀猪盘喜欢扮米国人,但是英文水平非常烂,有强烈的违和感。会点英文并不是什么值得得的事情。既然要装,那就起码装得像一点

这一波嘲讽,不知道有没有扎到 Paul 同志的心呢?

在 Elon Musk 收购蓝鸟一通折腾之后,一些大佬非常不爽,转而使用各种 Fediverse。其中比较流行的一个节点是 infosec.exchange。Lazarus 紧跟时代步伐,居然这边也注册了账号准备搞事。

由于 Google TAG 并没有在发布报告之后联系 infosec.exchange 采取行动,站长对此颇有微词。

这种杀猪盘能得手似乎说明,技术圈子大部分人都还不错,不排斥新人——哪怕是来历不明的,也能混到一些互动。

以后肯定还得多个心眼了。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzk0NDE3MTkzNQ==&mid=2247485021&idx=1&sn=438fb9e1fb9bdae82affc4ef560b4302&chksm=c329f8adf45e71bb6766d8b3a2e4e5f02ae69275b02ec322e258c25aadf41392f070d2289fd0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh