Kuzey Koreli devlet bilgisayar korsanları, Google Chrome Web tarayıcısında, bir yama, haber medyası, BT şirketlerini, kriptişlerini ve FinTech organizasyonlarını hedef alan saldırılarda bir aydan fazla bir süre önce, bir aydan fazla bir süredir sıfır gün, uzaktan kod yürütme güvenlik açığını kullandı.
Google'ın Tehdit Analizi Grubu (TAG), son zamanlarda yamalı CVE-2022-0609'u sömüren iki kampanyayı atfeder (sadece "anda" animasyonda serbestçe "animasyonda serbest kullanımdan sonra", Kuzey Kore hükümeti tarafından desteklenen iki ayrı saldırgan grubuna atfedildi.
BleepingComputer ile önceden paylaşılan bir raporda, Google Tag, 330'tan fazla kişiyi hedef alan bu faaliyetlerle ilgili taktikleri, teknikleri ve prosedürleri (TTPS) detaylandırır.
Mağdurlar, e-postalar, sahte web siteleri ile hedeflendi veya nihayetinde CVE-2022-0609 için Exploit Kitini etkinleştirecek meşru web siteleri ile hedeflendi.
Google Tag, 10 Şubat'ta kampanyaları keşfetti ve dört gün sonra acil bir Google Chrome güncellemesindeki güvenlik açığını ele aldılar.
Bununla birlikte, araştırmacılar, sıfır günlük güvenlik açığının en eski imzasının aktif olarak sömürüldüğü, 4 Ocak 2022'de bulunduğunu söylüyorlar.
Lazarus Grubu olarak da adlandırılan Kuzey Koreli hackerlarla bağlantı, geçen yıl aynı tehdit aktörüne atfedilen başka bir faaliyetle doğrudan altyapı örtüşmesi olan kampanyalardan biri tarafından verilir: Sahte Twitter ve LinkedIn sosyal kullanarak güvenlik araştırmacılarını hedeflemek Medya hesapları.
İki Kuzey Koreli tehdit alt grubundan biri "10 farklı haber medyası, etki alanı kayıtları, web barındırma sağlayıcıları ve yazılım satıcıları için çalışan 250 kişi" den daha fazla odaklandı. "
Google Tag, bu aktivitenin 2020 Ağustos'ta Clearsky'deki araştırmacılar tarafından detaylandırılan Kuzey Koreli CyberSpionage kampanyası olan Kuzey Koreli CyberSpionage kampanyası ile tutarlı olduğunu belirtir.
Operasyon rüya işi, ABD'deki önde gelen savunma ve havacılık şirketlerinden, Boeing, McDonnell Douglas ve Bae'nin isimleri arasında mağdurları sahte iş teklifleriyle cezalandırdı.
Google Tag, kampanyada, hedefleri keşfettiğini belirledi ki, Disney, Google ve Oracle'daki işe alımcılardan sahte iş fırsatları ile kimlik avı e-postaları aldı.
"E-postalar, aslında ve ziprecuiter gibi meşru iş avı web sitelerini sahteciliğe sokan bağlantılar içeriyordu," Araştırmacılar, bunlara tıklamayı, mağdurları sömüren kiti tetikleyen gizli bir iFrame'ye hizmet edeceğini açıkladı.
Bu kampanya için, saldırgan, DisneyCareers gibi bazı alanları kaydetti [.] Net ve Find-Dreamjob [.] COM, ancak en az bir meşru web sitesini de tehlikeye atar.
Google Tag tarafından Keşfedilen İkinci Kampanya, CVE-2022-0609 için aynı Exploit Kit'i kullanmak için CVE-2022-0609'da 85'ten fazla kullanıcıyı, Kerpersky'nin ayrıntılı olan [1, 2, 3], Applejeus'un [1, 2, 3] ile aynı gruba atfedildi. 2018'de.
"Bu, en az iki meşru FinTech firma web sitesini ödün vermeden ve Hidden IFRAME'yı HODING OFDEN IFRAMES'i ziyaretçilere hizmet vermektedir. Diğer durumlarda, sahte web sitelerini gözlemledik - zaten Trojanize Cryptocurrency uygulamalarını dağıtmak için kuruldu - iframes'i barındırıyor ve ziyaretçilerinin istismarına işaret ediyor "- Google Etiketi
Önceki kampanyada olduğu gibi, bu grup da yeni alanları kaydetti ve birkaç meşru olanı tehlikeye attı.
Exploit'in analiz edilmesi, araştırmacılar, saldırganın hedefleri ödün vermek için gereken çoklu istismar aşamalarını kurtarmayı daha zorlaştıran birkaç koruma özelliğini entegre ettiğini buldular.
Örneğin, Exploit kitine olan bağlantıya sahip iframe belirli zamanlarda servis edildi, bazı hedefler benzersiz kimlikler aldı (yalnızca bir kez istismarla hizmet vermek için), kitin her aşaması şifrelenmiştir (müşteri yanıtları, de) ve ikincil için hareket etti Aşamalar öncekinin başarısına bağlı olacaktır.
Araştırmacılar, kitin ilk aktivitesinin, kullanıcı aracısı ve ekran çözünürlüğü gibi detayları toplayarak hedef sistemin parmak izi olduğunu söylüyorlar.
Bu veri belirli bir gereksinimden oluşan bir dizi (şu anda bilinmeyen) eşleşirse, istemci, web tarayıcısının bağlantılarını sisteme çıkarmak için bir Sandbox kaçışını isteyen bir krom uzaktan kod yürütme (RCE) ve JavaScript kodu aldı.
Google Etiketi, ancak ilk uzaktan kod yürütme adımını izleyen aşamaların hiçbirini kurtaramadı.
Araştırmacılar, Kuzey Kore bilgisayar korsanlarının yalnızca Google Chrome kullanıcılarıyla ilgilenmediğini ve ayrıca MacOS ve Firefox'taki Safari kullanıcılarını da kontrol ettiler, onları "bilinen sömürü sunucuları üzerindeki belirli bağlantılara yönlendirdi."
Analiz sırasında, gözlemlenen URL'ler herhangi bir yanıtı iade etmedi.
Sömürü URL'leri ve saldırganı kayıtlı etki alanları dahil olmak üzere uzlaşma göstergelerinin eksiksiz bir listesi, Google Tag's raporunda bulunur.
Kaynak: Bleeping Computer