微軟近日透露，他們對“針對安全研究人員的目標(biāo)攻擊”展開了長期監(jiān)測，結(jié)果發(fā)現(xiàn)背后似乎有一個名叫“Zinc”的黑客組織的身影。早些時候，谷歌宣稱一個受朝方支持的黑客組織，一直利用社交網(wǎng)絡(luò)針對安全研究人員。作為攻擊的一部分，攻擊者會先忽悠研究人員合作開展漏洞研究，然后伺機在受害者計算機上利用定制后門的惡意軟件來感染系統(tǒng)。

微軟在近日的一份新報告中指出，過去幾個月，一直有黑客試圖對技術(shù)人員和安全企業(yè)展開有針對性的攻擊，一些人猜測幕后黑手為Zinc或Lazarus組織。

起初，本輪活動被Microsoft Defender for Endpoint檢測到，然后逐漸引發(fā)了微軟威脅情報中心（MSTIC）團隊的高度注意。

經(jīng)過持續(xù)追蹤，MSTIC認為有很多證據(jù)表明幕后與受朝方資助的Zinc黑客組織有關(guān)，此外報告中疏理出了攻擊者的技術(shù)手段、基礎(chǔ)架構(gòu)、惡意軟件模式以及多個賬戶的隸屬關(guān)系。

回溯時間，微軟認為Zinc早在2020年就開始密謀。首先是利用Twitter轉(zhuǎn)發(fā)與安全漏洞研究相關(guān)的內(nèi)容，為自己樹立并不斷豐滿所謂的安全研究人員角色。

然后攻擊者會利用其他受控制的傀儡賬號與之互動，以擴大這些推文的影響力。通過一系列的運作，該組織順利地在安全圈子里獲得了一定的聲譽，直至將自己捧為“杰出的安全研究人員”并吸引更多追隨者。

作為攻擊的一部分，Zinc會假裝邀請與目標(biāo)安全研究人員開展合作，但正如谷歌先前的報道那樣，受害者會收到一個被注入了惡意動態(tài)鏈接庫（DLL）文件的Visual Studio項目。

當(dāng)研究人員嘗試編譯該項目時，相關(guān)漏洞會被用于執(zhí)行惡意代碼、通過此DLL安裝有后門的惡意軟件、進而在受害者計算機上檢索信息和執(zhí)行任意指令。

此外微軟還揭示了被Zinc黑客組織利用的其他攻擊手段，甚至能夠在部署了最新系統(tǒng)補丁和Google Chrome瀏覽器上，通過訪問精心制作的黑客網(wǎng)站來感染部分受害者。

考慮到谷歌方面尚不確定這些受害者是如何中招的，我們暫且只能假定攻擊者使用了未公開披露的零日漏洞。