[[379401]]

微軟近日透露，他們對“針對安全研究人員的目標(biāo)攻擊”展開了長期監(jiān)測，結(jié)果發(fā)現(xiàn)背后似乎有一個(gè)名叫“Zinc”的黑客組織的身影。本周早些時(shí)候，谷歌宣稱一個(gè)受朝方支持的黑客組織，一直在利用社交網(wǎng)絡(luò)來針對安全研究人員。作為攻擊的一部分，攻擊者會(huì)先忽悠研究人員合作開展漏洞研究，然后伺機(jī)在受害者計(jì)算機(jī)上利用定制后門的惡意軟件來感染系統(tǒng)。

微軟在近日的一份新報(bào)告中指出，過去幾個(gè)月，一直有黑客試圖對技術(shù)人員和安全企業(yè)展開有針對性的攻擊，一些人猜測幕后黑手為 Zinc 或 Lazarus 組織。

起初，本輪活動(dòng)被 Microsoft Defender for Endpoint 給檢測到，然后逐漸引發(fā)了微軟威脅情報(bào)中心(MSTIC)團(tuán)隊(duì)的高度注意。

經(jīng)過持續(xù)追蹤，MSTIC 認(rèn)為有相當(dāng)高的證據(jù)表明幕后與受朝方資助的 Zinc 黑客組織有關(guān)，此外報(bào)告中疏理出了攻擊者的技術(shù)手段、基礎(chǔ)架構(gòu)、惡意軟件模式、以及和多個(gè)賬戶的隸屬關(guān)系。

回溯時(shí)間，微軟認(rèn)為 Zinc 早在 2020 年中就開始在密謀。首先是利用 Twitter 轉(zhuǎn)發(fā)與安全漏洞研究相關(guān)的內(nèi)容，為自己樹立并不斷豐滿所謂的安全研究人員角色。

然后攻擊者會(huì)利用其它受控制的傀儡賬號來與之互動(dòng)，以擴(kuò)大這些推文的影響力。通過一系列的運(yùn)作，該組織順利地在安全圈子里獲得了一定的聲譽(yù)，直至將自己捧為“杰出的安全研究人員”并吸引更多追隨者。

作為攻擊的一部分，Zinc 會(huì)假裝邀請與目標(biāo)安全研究人員開展合作，但正如谷歌先前的報(bào)道那樣，受害者會(huì)收到一個(gè)被注入了惡意動(dòng)態(tài)鏈接庫(DLL)文件的 Visual Studio 項(xiàng)目。

當(dāng)研究人員嘗試編譯該項(xiàng)目的時(shí)候，相關(guān)漏洞會(huì)被用于執(zhí)行惡意代碼、通過此 DLL 安裝有后門的惡意軟件、進(jìn)而在受害者計(jì)算機(jī)上檢索信息和執(zhí)行任意指令。

此外微軟還揭示了被 Zinc 黑客組織利用的其它攻擊手段，甚至能夠在部署了最新系統(tǒng)補(bǔ)丁和 Google Chrome 瀏覽器上，通過訪問精心制作的黑客網(wǎng)站來感染部分受害者。

考慮到谷歌方面尚不確定這些受害者是如何中招的，我們暫且只能假定攻擊者使用了未公開披露的零日漏洞。