В начале 2021 года небольшая группа хакеров из КНДР завела блог по теме исследований в области ИБ, выложила там ряд любопытных материалов и под предлогом проведения совместного исследования заманила ИБ-экспертов на зараженные ресурсы. Выжимку из отчета группы анализа угроз
Google (TAG) по этому инциденту вы найдете
по ссылке.
На этот раз другие злоумышленники атаковали исследователей и разработчиков кибербезопасности, распространяя вредоносную версию популярного приложения-дебаггера dnSpy.net. Программа содержала в себе похитители криптовалюты, трояны для получения удаленного доступа к устройству и майнеры. Хакеры создали копию сайта оригинальной программы и вывели его в топ поисковой системы Google (помимо этого сайт присутствовал в поисковой выдаче Bing, Yahoo, AOL, Yandex и Ask.com).
Когда вредоносная версия приложения запускается, оно выполняет ряд команд, которые создают запланированные задачи, выполняемые с повышенным приоритетом: отключает Защитник Майкрософт; использует bitsadmin.exe для загрузки curl.exe в %windir%\system32\curl.exe; использует curl.exe и bitsadmin.exe для загрузки различных полезных нагрузок в папку C:\Trash и их запуска; отключает контроль учетных записей пользователей.
Источник:
bleepingcomputer.com