Noord-Koreaanse hackers gebruiken een nep beveiligingsbedrijf en social media accounts als onderdeel van een wijdverspreide campagne om cyberbeveiligingsonderzoekers te misleiden met malware.Hackers hebben minstens twee nepaccounts op LinkedIn gebruikt die zich voordoen als recruiters van antivirussoftware en beveiligingsbedrijven.
Een van de recruiters, die “Carter Edwards” zou heten, werkt bij een bedrijf dat “Trend Macro” zou heten, wat iemand die snel op zoek is naar een nieuwe baan op het gebied van informatiebeveiliging zou kunnen verwarren met het echte beveiligingsbedrijf Trend Micro.
De campagne vertrouwt ook op enkele Twitter-accounts.Het nepbedrijf, dat de hackers “SecuriElite” noemen, beweert gevestigd te zijn in Turkije en zich te richten op offensieve beveiliging, penetratietests, softwarebeveiligingsbeoordelingen en exploits.De hackers hebben dit bedrijf in maart 2021 opgericht.
Het Twitter-account dat verbonden lijkt te zijn met het nepbedrijf heeft slechts één keer getweet en heeft slechts één volger.Het is niet de eerste keer dat deze vermoedelijke Noord-Koreaanse hackers een nepwebsite en sociale media-accounts hebben opgezet die bedoeld zijn om andere beveiligingsonderzoekers te dwingen tot vermeende samenwerking, om ze vervolgens te misleiden tot het downloaden van malware.
Google onthulde eerder al een eerdere versie van de campagne, waarin een schijnbaar legitieme beveiligingsblog werd gepresenteerd en doelwitten de mogelijkheid kregen om een kwetsbaarheid te onderzoeken met de eigenaren van de blog. In dat geval werden zelfs gefascineerde doelwitten die alleen maar klikten om naar de blog te kijken geïnfecteerd, zelfs als ze Windows 10 en Chrome browserversies hadden bijgewerkt.
De onthulling dat de hackers de afgelopen dagen een nieuwe tak van de campagne hebben opgezet, suggereert echter dat ze niet afgeschrikt lijken te zijn na hun eerdere blootstelling.
Hoewel Google zegt dat de hackers verbonden zijn met een door de overheid gesteunde entiteit, noemen ze niet de specifieke groep aanvallers. De hackers hebben nog geen onderzoekers met malware benaderd via het SecuriElite gedeelte van de campagne. Maar de website biedt een link naar hun PGP publieke sleutel, een link die de vorige versie van de campagne gebruikte om een browser exploit te verspreiden.
De vorige campagne, die wel gericht was op slachtoffers met malware, maakte gebruik van accounts op Twitter, LinkedIn, Telegram, Discord en Keybase, en stuurde e-mails naar potentiële slachtoffers. Google zei dat het contact had opgenomen met LinkedIn en Twitter voor mogelijke acties gericht op de laatste sociale media accounts die het team heeft opgegraven.
Beide sociale mediaplatforms hebben de accounts verwijderd.”Onze voorwaarden verbieden het gebruik van LinkedIn voor criminele activiteiten en we zoeken actief naar tekenen van door de staat gesponsorde activiteiten en ondernemen snel actie tegen slechte actoren op het platform”, aldus een woordvoerder van LinkedIn tegen CyberScoop.”Alle accounts waarnaar u verwijst, zijn permanent geschorst wegens het schenden van de Twitterregels.
Als we activiteiten kunnen toeschrijven aan door de staat gesteunde actoren, zullen we accounts en bijbehorende inhoud bekendmaken aan ons archief van informatiebewerkingen”, aldus een woordvoerder van Twitter.
Sommige Noord-Koreaanse hackers deden zich in 2016 en 2017 voor als baanwervers om in te breken in de computersystemen van Lockheed Martin, volgens het ministerie van Justitie.
Meer recentelijk richtten hackers die gelieerd zijn aan de Noord-Koreaanse overheid, bekend onder de naam Lazarus Group, zich vorig jaar op mensen die voor de Israëlische defensiesector werken met valse vacatures als onderdeel van een grotere spionagecampagne, volgens het Israëlische ministerie van Defensie.
Noord-Koreaanse hackers hebben volgens onderzoekers van McAfee onlangs ook werknemers van lucht- en ruimtevaart- en defensiebedrijven aangevallen met kwaadaardige Microsoft Word-documenten. Beveilig uw webapps met onze webapp-isolatie.
Read more about this: Source
