本周四，谷歌威胁分析团队 (TAG) 披露了朝鲜黑客组织成员的社交账号，并提醒称至少一个已遭活跃利用的 0day 目前仍未修复。

朝鲜黑客组织被指使用X（即推特）作为初始联系点，之后通过长时间的交互和讨论，与目标研究员伪造关系。谷歌解释称，“在一个案例中，他们持续进行了数月之久的谈话，试图与一名研究员就共同感兴趣的话题进行协作。通过X平台取得初始联系后，他们转向加密消息应用如 Signal、WhatsApp 或 Wire。一旦与目标研究员建立联系，他们就会发送至少包含一个热门软件包0day的恶意文件。”

不过，谷歌并未识别出该易受攻击的软件包。

谷歌表示，该0day利用用于植入开展一系列反病毒机器检查的 shellcode 并发送带有截屏的所收集信息，发回给受攻击者控制的命令和控制域。谷歌表示，“这个exploit 中所使用的shellcode 被以同样的方式构建到此前在所用exploit 中观测到的shellcode。”谷歌提到该缺陷已报送给受影响厂商且正在打补丁过程中。谷歌表示在补丁发布前将不会公开技术详情。

除了通过 0day 利用攻击研究人员外，谷歌 TAG 提到该APT组织还发布一款独立的 Windows 工具，目标是“从微软、谷歌、Mozilla 和思杰符号服务器中下载供逆向工程师使用的调试符号。”

该Windows 工具的源代码一年前在GitHub 发布，目前已更新数次，增加了新特性以帮助从大量不同来源快速下载符号信息。然而，谷歌提醒称，该工具从用户机器劫持数据。

谷歌表示，“这款工具还能够从受攻击者控制的域执行任意代码。如果你已下载或运行该工具，则TAG建议采取预防措施，确保系统处于已知的清洁状态，可能要求重启操作系统。”

这并非朝鲜国家黑客组织首次针对安全研究员。2021年1月，谷歌发现“位于朝鲜的一个受政府支持的实体”攻击在多家企业和组织机构从事漏洞研究和开发工作的安全研究员的计算机系统。该攻击在多个在线平台有组织地进行，包括设陷网站上的路过式浏览器攻陷以及在社交网站上持续的直接接触活动等。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~