В ходе своей кампании северокорейские хакеры выдавали себя за вербовщиков из Disney, Google и Oracle, чтобы обманным путем заставить жертв посетить вредоносные веб-страницы.
По данным Google, ранее в этом году северокорейские хакеры использовали критическую уязвимость в браузере Chrome для нападения на жертв в США.
В четверг компания предоставила более подробную информацию об уязвимости CVE-2022-0609, которая была исправлена в Chrome в прошлом месяце. В то время Google предоставил мало подробностей об уязвимости «высокой степени серьезности», но предупредил, что она используется.
Теперь компания заявляет, что CVE-2022-0609 смогла запустить удаленное выполнение кода в браузере Chrome, который хакеры, вероятно, использовали для загрузки вредоносного ПО на компьютер.
Google также обнаружил доказательства того, что две северокорейские хакерские группы, спонсируемые государством, начали использовать уязвимость 4 января. «Мы наблюдали за кампаниями, нацеленными на американские организации, охватывающие новостные СМИ, ИТ, криптовалюту и финтех-индустрию. Однако жертвами могли стать и другие организации и страны», — написал в блоге компании исследователь безопасности Google Адам Вайдеманн.
Первая группа, получившая название Operation Dream Job, была нацелена на «более 250 человек, работающих в 10 различных средствах массовой информации, регистраторах доменов, провайдерах веб-хостинга и поставщиках программного обеспечения», добавил он. Для этого хакеры рассылали по электронной почте поддельные предложения о работе, которые якобы исходили от таких компаний, как Disney, Google и Oracle.
Эти электронные письма содержали ссылки, которые подделывали законные веб-сайты по поиску работы, включая Indeed, ZipRecruiter и страницу вакансий Disney. Но на самом деле веб-сайты содержали ловушки, чтобы вызвать уязвимость CVE-2022-0609 в Chrome.
Вторая северокорейская группировка, получившая название Operation AppleJeus, пыталась взломать более 85 пользователей в сфере криптовалют и финансовых технологий. Это включало компрометацию как минимум двух реальных веб-сайтов финтех-компаний и использование скрытых фреймов на страницах для использования уязвимости Chrome. В других случаях группа использовала поддельные криптовалютные сайты для проведения атаки.
Сама атака, называемая набором эксплойтов, состояла из нескольких этапов, на первом из которых была предпринята попытка снять отпечатки пальцев с оборудования жертвы путем сбора информации о спецификациях и конфигурации. «Если бы был выполнен ряд неизвестных требований, клиенту был бы предоставлен эксплойт Chrome RCE (удаленное выполнение кода) и некоторый дополнительный javascript», — сказал Вайдеманн.
«Если RCE был успешным, JavaScript запраивал следующий этап, указанный в скрипте как «SBX» — общепринятая аббревиатура от Sandbox Escape. К сожалению, нам не удалось восстановить ни один из этапов, последовавших за первоначальным RCE», — добавил он. В результате не совсем ясно, для чего предназначалась атака, но прошлые исследования показали, что у северокорейских хакеров есть аппетит к краже криптовалюты .
Хакеры также встроили в свои вредоносные веб-страницы несколько средств защиты, чтобы специалисты по безопасности не смогли раскрыть весь набор эксплойтов. Это включало обслуживание атаки через вредоносные веб-сайты только в определенное время дня. Некоторые из фишинговых кампаний по электронной почте от хакеров также сопровождались уникальными идентификаторами ссылок, которые могли использоваться для атаки при одном нажатии жертвы на ссылку.
Кроме того, северокорейские хакеры могли использовать уязвимости в других браузерах для атак. «Хотя мы восстановили Chrome RCE, мы также обнаружили доказательства того, что злоумышленники специально проверяли посетителей, используя Safari в macOS или Firefox (в любой ОС), и направляли их по определенным ссылкам на известных серверах эксплуатации. Мы не получили никаких ответов с этих URL-адресов», — сказал Вайдеманн.
Хорошая новость заключается в том, что Google исправила уязвимость 14 февраля, через четыре дня после ее обнаружения. Тем не менее, северокорейские хакеры все еще пытались использовать уязвимость браузера даже после того, как был выпущен патч. Google заявил, что для дополнительной защиты пользователей он отправил «всем целевым пользователям Gmail и Workspace оповещения об атаках, поддерживаемых правительством, с уведомлением об этой активности».
«Мы подозреваем, что эти группы работают на одну и ту же организацию с общей цепочкой поставок, отсюда и использование одного и того же набора эксплойтов, но каждая из них работает с разным набором задач и использует разные методы», — добавил Вайдеманн. «Возможно, что другие злоумышленники, поддерживаемые правительством Северной Кореи, имеют доступ к тому же набору эксплойтов».
Перевод статьи «Google Spots North Korean Hackers Using Chrome Browser Exploit on US Targets»