微软最近透露,他们对“目标攻击安全研究人员”展开了长期监测,结果发现背后似乎有一个名叫“Zinc”黑客组织。本周早些时候,谷歌声称,一个由朝鲜支持的黑客组织一直在利用社交网络为安全研究人员服务。作为攻击的一部分,攻击者将首先欺骗研究人员进行漏洞研究,然后等待机会使用定制后门的恶意软件在受害者的计算机上感染系统。
微软在最近的一份新报告中指出,在过去的几个月里,一些黑客试图攻击技术人员和安全企业,一些人猜测幕后的黑手是 Zinc 或 Lazarus 组织。
起初,本轮活动被 Microsoft Defender for Endpoint 检测到,然后逐渐引发微软威胁情报中心(MSTIC)团队高度重视。
持续跟踪后,MSTIC 认为有相当高的证据表明,在幕后由朝鲜资助Zinc 黑客组织,除了技术手段、基础设施、恶意软件模式以及与多个账户的隶属关系外,还疏通了攻击者的报告。
回顾时间,微软认为 Zinc 早在2020年 年中就开始密谋。首先是使用 Twitter 转发与安全漏洞研究相关的内容,为自己树立和丰富所谓的安全研究人员。
然后攻击者将使用其他控制的傀儡账户来互动,以扩大这些推文的影响力。通过一系列的操作,该组织在安全圈中成功地获得了一定的声誉,直到它被称为“优秀的安全研究人员”并吸引更多的追随者。
作为攻击的一部分,Zinc 将假装邀请与目标安全研究人员合作,但正如谷歌之前的报道,受害者将收到一个恶意动态链接库(DLL)文件的 Visual Studio 项目。
当研究人员试图编译该项目时,相关漏洞将用于执行恶意代码并通过此 DLL 安装有后门的恶意软件、进而在受害者计算机上检索信息和执行任意指令。
此外,微软还揭示了 Zinc 黑客组织甚至可以部署最新的系统补丁和 Google Chrome 在浏览器上,一些受害者被精心制作的黑客网站感染。
考虑到谷歌还不确定这些受害者是如何被招募的,我们只能假设攻击者使用了未公开披露的零天漏洞。