Die Threat Analysis Group (TAG) von Google beobachtet bereits seit 2021 gezielte Angriffe auf IT-Sicherheitsforscher unter Ausnutzung von Zero-Day Schwachstellen. In den vergangenen Wochen wurde eine neue Angriffswelle beobachtet, die aufgrund von Ähnlichkeiten im verwendeten Shellcode derselben Kampagne zugeordnet wird.
Auch hier wird eine bislang nicht veröffentlichte Zero-Day Schwachstelle als Angriffsvektor genutzt. Im Vorfeld des Angriffes erfolgen Social-Engineering-Versuche über Social-Media-Plattformen wie X (vormals Twitter), um das Vertrauen der späteren Opfer zu gewinnen. Hierbei werden, teilweise über einen langen Zeitraum, Gespräche über aktuelle Recherchethemen der Opfer geführt. Nach erfolgreichem Kontaktaufbau wird das Gespräch auf verschlüsselte Nachrichtendienste wie WhatsApp, Signal oder Wire verlagert und dem Opfer über diese Kanäle eine maliziöse Datei zugespielt. Diese Vorgehensweise wurde durch das Landesamt für Verfassungsschutz in der Vergangenheit bereits mehrfach durch nordkoreanische Akteure wie zum Beispiel Lazarus beobachtet.
Zusätzlich zu den genannten Angriffsvektoren haben die Angreifer ein Tool für Windows namens GetSymbol entwickelt, dass den Download von Debugging-Symbolen von Microsoft, Google und Mozilla erleichtern soll. Diese Symbole stellen zusätzliche Informationen über eine Binärdatei bereit, die zum Debugging oder zur Suche nach Schwachstellen genutzt werden können. Im Hintergrund erlaubt das Tool den Angreifern jedoch, eigenen Code auf dem System des Opfers auszuführen. Das Tool wurde auf Github bereits am 30. September 2022 veröffentlicht, ist jedoch zum Zeitpunkt dieses Sicherheitshinweises bereits nicht mehr abrufbar.
Die TAG von Google stellt in ihrem Bericht
Indicators of Compromise (IOCs) bereit. Die Cyberabwehr im Landesamt für Verfassungsschutz empfiehlt Sicherheitsforschern und
Unternehmen, die in diesem Bereich tätig sind, dringend eine Überprüfung hinsichtlich der Nutzung des GetSymbol-Tools.