【複製人陷阱】黑客扮網安專家開GitHub 發表概念驗證攻擊「同業」
VulnCheck 專家發現,有黑客假扮成網絡安全研究員發表虛假的網絡安全概念驗證(PoC),並通過營運偽冒的 Twitter 及 GitHub 帳戶,吸引同業下載,目的是感染他們的電腦設備。雖然黑客經常透過不同詐騙手法攻擊不同人士,但這次以網絡安全同業為目標,到底有甚麼好處?
黑客經常使用不同詐騙手法散播惡意軟件,例如以破解版或具有額外功能的遊戲或影片編輯軟件為餌,令相關人士下載安裝,黑客便可將對方的電腦變成殭屍大軍成員,又或偷取對方儲存在電腦內的帳戶認證謀利。而為擴大感染範圍,黑客更會在社交平台上賣廣告,或以暗黑 SEO 方法提升儲存惡意軟件網站的搜尋排名,這些都是近年黑客常用的手法。
假冒網安公司發表研究報告
而在這次由 VulnCheck 專家揭發的釣魚陷阱中,黑客至少在今年五月開始便假冒成 RAPID7 網絡安全公司的研究員發表各式各樣的網絡安全研究報告,例如以公開 Chrome、Discord、Signal、Microsoft Exchange 等常用軟件的零日漏洞概念驗證為名,吸引同業的注意。
專家解釋,黑客首先假冒成上述研究員在 GitHub 開源倉庫開設帳戶並上載各種概念驗證,提高帳戶的可信度。其次是黑客又在 Twitter 社交平台開設一個屬於虛假網絡安全公司 High Sierra Cyber Security,一邊透過經營社交平台,一邊推廣假專家的 GitHub 帳戶,等待同業下載使用,以在對方電腦設備內建立後門。視乎下載者所使用的電腦系統,黑客會推送不同版本的惡意軟件。
而在這次黑客發布的惡意軟件中,VulnCheck 專家指 VirusTotal 病毒資料庫對其辨識度不高,例如只有 60% 防毒軟件能辨識出 Windows 版本病毒,Linux 版更低至只得三款防毒軟件會發出警告,所以感染其他網絡安全研究員電腦設備的可能性相當高。
攻擊研究員 獲取漏洞研究資訊
專家解釋,這次攻擊針對網絡安全研究員有很多好處。首先,黑客可以通過攻擊網絡安全研究員來獲取關於漏洞研究的資訊,再吸納這些技術用於其他攻擊。其次,黑客可以透過攻擊網絡安全公司的網絡獲取敏感資料,例如企業客戶的漏洞評估、遠程訪問憑證或未公開的零日漏洞等。
因此,專家建議同業當從 GitHub 下載編碼時,必須對所有編碼進行仔細檢查,以避免下載和執行惡意功能。雖然在這次攻擊中,專家可以很容易從中看到惡意編碼部分,但黑客可透過混淆編碼手法去逃避檢測,因此同業必須非常謹慎。
