В першому випуску доповіді Threat Horizons Гугл, серед інших виявлених кіберзагроз, згадали про спонсорованих державою північнокорейських хакерів, які застосували трохи просту тактику, прикидаючись рекрутерами Samsung. Зловмисники робили фальшиві пропозиції роботи співробітникам південнокорейських антивірусних компаній, які продають програмне забезпечення для захисту від шкідливих програм. Хакери відверто здивували спільноту спеціалістів з кібер безпеки.
Підроблені електронні листи, крім тексту самого повідомлення, містили вкладення PDF. Однак хакери змінили PDF-файли, таким чином щоб вони не відкривалися в стандартному зчитувачі PDF. Коли потенційна жертва скаржилася на те, що файл не відкривається, хакери надавали лінк до Secure PDF Reader. Посилання перенаправляло нічого не підозрюючих жертв до файлу, модифікованої версії PDFTron. Хакери спеціально змінили цей пристрій для зчитування PDF-файлів, щоб вподальшому встановити бекдор-троян.
Спеціалісти вважають, що ті самі хакери стоять за ранішими атаками
Google Threat Analysis Group вважає, що це та сама група хакерів, яка раніше атакувала різноманітних дослідників безпеки, переважно в Twitter та інших соціальних мережах наприкінці 2020 року та протягом 2021 року. Ідентифіковані Microsoft під кодовою назвою «Zinc», вони дуже здивували спеціалістів з кібербезпеки своєю тактикою. Згідно з тим же звітом, це не перший випадок, коли зловмисники використовують умисно змінений пристрій для зчитування PDF-файлів. Минулого року хакери спробували використати змінену версію SumatraPDF, щоб розшифрувати та скинути імплант. Вони також додали достовірні PE, які були вбудовані в сам веб-переглядач. Фахівці з кібербезпеки відзначають, що нещодавно вони помітили, що й інші зловмисники почали використовувати подібну техніку, за допомогою якої умисно змінювався засіб перегляду PDF-файлів.
Звіт базується на даних розвідки групи аналізу кібер загроз, Google Cloud Threat Intelligence for Chronicle, Trust and Safety та інших внутрішніх команд. Google планує інші майбутні звіти розвідок про кібер загрози, які охоплюватимуть відстеження тенденцій, сканування горизонту загроз та оголошення завчасних попереджень про нові загрози, що потребують негайних дій.
Окрім північнокорейської хакерської групи, у першому випуску Threat Horizons також повідомляється про ознаки потенційної активності BlackMatter, шахраїв, які використовують новий TTP для зловживання хмарними ресурсами, і російську хакерську групу APT28\ Fancy Bear, яка проводила фішингову кампанію на Gmail. У звіті згадується також про виявлений факт скомпрометованих екземплярів Google Cloud, які зловмисники використовували для майнінгу криптовалюти. Для кожного випадку TAG надав можливі рішення щодо зменшення ризиків для клієнтів Google.
Перший випуск Threat Horizons включає широкий спектр інформації
Для кожної скомпроментованої вразливості Threat Horizons подав наступне відсоткове співвідношення:
- Витік облікових даних (4%);
- Неправильна конфігурація екземпляра Cloud або стороннього програмного забезпечення (12%);
- Інші невизначені вразливості (12%);
- Уразливість у програмному забезпеченні сторонніх розробників у екземплярі Хмари. (26%);
- Слабкий пароль або відсутність пароля для облікового запису користувача або відсутність автентифікації для API.
У більшості випадків хакери намагалися накачати трафік на Youtube і отримати прибуток від майнінгу криптовалюти. Для результативності компромісу відсотки наступні:
- Розсилання спаму (2%);
- Запуск DDoS бота (2%);
- Розміщення несанкціонованого контенту в Інтернеті (4%);
- Зловмисне програмне забезпечення (6%);
- Запуск атак з іншими цілями в Інтернеті (8%);
- Сканування портів в інших цілях в Інтернеті (10%);
- Видобування криптовалюти (86%).
TAG також додав, що загальна кількість не становить 100%, оскільки деякі скомпрометовані екземпляри використовувалися для виконання кількох шкідливих дій.