老哥，帮我看下这个 0day exploit：安全研究员遭疑似国家黑客社工，有人不幸中招

谷歌 TAG 团队指出，幕后黑手是朝鲜国家黑客，他们使用大量手段专门社工安全研究员。谷歌指出这篇文章的目的是提醒安全研究圈子注意国家黑客以及对于没有交流过的人员保持警惕。

为了提高可信度以及和安全研究员联系，黑客建立了一个研究网站和多个推特账户，与潜在目标进行交互。他们利用推特身份发布博客链接、发布所称 exploit 的视频并从受控的其它账户转发推文扩充推文数量。

他们的博客文章中包括已公开漏洞的 write-up 以及漏洞分析，包括源自不知情的研究员的 “guest’ 博客文章，目的是通过其他研究员构建额外的可信度。

虽然无法验证他们所发布的 exploit 是否可运行，但至少在一个案例中，黑客伪造了 exploit 的成功。2021年1月14日，黑客通过推特共享了一个声称可利用 CVE-2021-647 的YouTube 视频。在视频中，黑客称利用成功，生成 cmd.exe shell，但仔细审计视频就能知道该 exploit 是伪造的。该视频下的用户平来称该视频是伪造的，并不存在起作用的 exploit。之后，黑客利用第二个受控的推特账户转发了原来的推文并声称“并非伪造视频“。

黑客被指通过一种新型社工手法攻击安全研究员。建立初步联系后，黑客询问目标研究员能否协作开展某项漏洞研究，之后提供给研究员一个 Visual Studio 项目，其中包含利用该漏洞的源代码以及将通过 Visual Studio Build Events 执行的额外 DLL。该 DLL 是一款自定义恶意软件，可立即和受黑客控制的 C2 域名通信。VS Build Event 的示例如下，当构建所提供的 VS 项目文件时，就会执行 VS Build Events 命令。

除了社工外，TAG 团队还观察到在某些情况下，安全研究员访问黑客博客后即受陷。在这些案例中，研究员点击托管在 blog.br0vvnn[.]io 上的一个 write-up，不久后恶意服务就被安装到安全研究员的系统中，而内存后门就会和受黑客控制的 C2 服务器通信。在访问该站点时，受害者系统完全打好补丁且使用了最新的 Windows 10 和 Chrome 浏览器版本。TAG 团队表示在这个阶段，仍然无法证实受陷机制，希望知情人士提供其它线索。该团队表示，Chrome 漏洞，包括已遭在野利用的 Chrome 漏洞仍然可根据 Chrome 漏洞奖励计划获得奖励。

TAG 团队指出，这些黑客使用多个平台和潜在目标进行通信，包括推特、LinkedIn、Telegram、Discord、Keybase 和邮件。如下是已知账户等。如已和这些账户联系过或者访问了黑客的博客，应检查是否存在如下提及的 IOC。截至目前，TAG 团队仅发现Windows 系统是黑客的目标。

如担心自己是否被攻击，TAG 团队建议使用单独的物理机开展隔离研究工作，使用虚拟机进行常规网页浏览、和研究社区交流以及接收第三方文件以及开展自己的研究活动。

博客地址：

• https://blog.br0vvnn[.]io

推特账户：

• https://twitter.com/br0vvnn

• https://twitter.com/BrownSec3Labs

• https://twitter.com/dev0exp

• https://twitter.com/djokovic808

• https://twitter.com/henya290

• https://twitter.com/james0x40

• https://twitter.com/m5t0r

• https://twitter.com/mvp4p3r

• https://twitter.com/tjrim91

• https://twitter.com/z0x55g

LinkedIn账户：

• https://www.linkedin.com/in/billy-brown-a6678b1b8/

• https://www.linkedin.com/in/guo-zhang-b152721bb/

• https://www.linkedin.com/in/hyungwoo-lee-6985501b9/

• https://www.linkedin.com/in/linshuang-li-aa696391bb/

• https://www.linkedin.com/in/rimmer-trajan-2806b21bb/

Keybase：

• https://keybase.io/zhangguo

Telegram

• https://t.me/james50d

哈希样本：

• https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection (VS Project DLL)

• https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection (VS Project DLL)

• https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection (VS Project Dropped DLL)

• https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection (VS Project Dropped DLL)

• https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection (Service DLL)

C2 域名：攻击者所有

• angeldonationblog[.]com

• codevexillium[.]org

• investbooking[.]de

• krakenfolio[.]com

• opsonew3org[.]sg

• transferwiser[.]io

• transplugin[.]io

C2 域名: 合法但受陷

• trophylab[.]com

• www.colasprint[.]com

• www.dronerc[.]it

• www.edujikim[.]com

• www.fabioluciani[.]com

C2 URLs：

• https[:]//angeldonationblog[.]com/image/upload/upload.php

• https[:]//codevexillium[.]org/image/download/download.asp

• https[:]//investbooking[.]de/upload/upload.asp

• https[:]//transplugin[.]io/upload/upload.asp

• https[:]//www.dronerc[.]it/forum/uploads/index.php

• https[:]//www.dronerc[.]it/shop_testbr/Core/upload.php

• https[:]//www.dronerc[.]it/shop_testbr/upload/upload.php

• https[:]//www.edujikim[.]com/intro/blue/insert.asp

• https[:]//www.fabioluciani[.]com/es/include/include.asp

• http[:]//trophylab[.]com/notice/images/renewal/upload.asp

• http[:]//www.colasprint[.]com/_vti_log/upload.asp

Host IOCs：

• 注册表键：

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverConfig

• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSL Update

• 文件路径：

• C:\Windows\System32\Nwsapagent.sys

• C:\Windows\System32\helpsvc.sys

• C:\ProgramData\USOShared\uso.bin

• C:\ProgramData\VMware\vmnat-update.bin

• C:\ProgramData\VirtualBox\update.bin