האקרים צפון קוריאנים מנצלים את Chrome יום אפס שבועות לפני התיקון


האקרים של מדינות צפון קוריאה ניצלו פגיעות של ביצוע קוד מרחוק של אפס ימים בדפדפן האינטרנט של Google Chrome במשך יותר מחודש לפני שתיקון הפך זמין, בהתקפות המכוונות לכלי מדיה, IT, מטבעות קריפטוגרפיים וארגוני פינטק.

קבוצת ניתוח האיומים של גוגל (TAG) ייחסה שני קמפיינים המנצלים את ה-CVE-2022-0609 שתוקן לאחרונה (מתואר רק כ'שימוש לאחר חינמי באנימציה' בשלב זה) לשתי קבוצות תוקפים נפרדות בגיבוי ממשלתי. מצפון קוריאה.

ניצול פרוס באופן פעיל מאז תחילת ינואר

בדוח ששותף מראש עם BleepingComputer, Google TAG מפרטת את הטקטיקות, הטכניקות והנהלים (TTPs) הקשורים לפעילויות אלו, ומכוונת ליותר מ-330 אנשים.



קורבנות היו ממוקדים באמצעות מיילים, אתרים מזויפים או אתרים לגיטימיים שנפגעו, שבסופו של דבר יפעילו את ערכת הניצול עבור CVE-2022-0609.

דוגמה לאימייל דיוג בשימוש בקמפיינים

דוגמה לאימייל דיוג בשימוש בקמפיינים (תג Google)

Google TAG גילה את מסעות הפרסום ב-10 בפברואר וטיפלה בפגיעות בעדכון חירום לגוגל כרום ארבעה ימים לאחר מכן.

עם זאת, החוקרים אומרים כי הסימנים הראשונים לניצול פעיל של הפגיעות של יום האפס נמצאו ב-4 בינואר 2022.

הקשר להאקרים הצפון קוריאנים, הידועים גם בשם Lazarus Group, הוא דרך אחד הקמפיינים, שהתשתית שלו חופפת ישירות לפעילות אחרת שיוחסה לאותו שחקן איום בשנה שעברה: תקיפת חוקרי אבטחה. שימוש ברשתות חברתיות מזויפות טוויטר ולינקדאין. חשבונות מדיה

הפרה של אתרים לגיטימיים לשרת את הניצול

אחת משתי תת-קבוצות האיומים בצפון קוריאה פנתה ליותר מ-'250 אנשים שעבדו עבור 10 כלי תקשורת שונים, רשמי דומיינים, ספקי אירוח אתרים וספקי תוכנה.'

גוגל TAG מציינת כי פעילות זו עולה בקנה אחד עם Operation Dream Job, קמפיין ריגול סייבר בצפון קוריאה, שפורט על ידי חוקרי ClearSky באוגוסט 2020.

מבצע Dream Job פיתה קורבנות עם הצעות עבודה מזויפות מחברות תעופה וחלל והגנה מובילות בארה'ב, כולל בואינג, מקדונל דאגלס ו-BAE.

גוגל TAG מציינת שבקמפיין היא גילתה שמטרות קיבלו מיילים דיוגים עם הזדמנויות עבודה מזויפות ממגייסים בדיסני, גוגל ואורקל.

המיילים הכילו קישורים שזייפו אתרים לגיטימיים לחיפוש עבודה כמו Indeed ו-ZipRecruiter, מסבירים החוקרים, ומוסיפים כי לחיצה עליהם תשלח לקורבנות iframe נסתר שיפעיל את ערכת הניצול.

למטרות מסע פרסום זה, התוקף רשם כמה דומיינים, כגון disneycareers[.]net ו-find-dreamjob[.]com, אך גם פרץ לפחות אתר לגיטימי אחד.

אתר עבודה מזויף משמש להפעלת ערכת ניצול

אתר עבודה מזויף המשמש להפעלת ערכת ניצול (Google TAG)

הקמפיין השני שגילה Google TAG להשתמש באותה ערכת ניצול עבור CVE-2022-0609 כוון ליותר מ-85 משתמשים בתעשיות ה-cryptocurrency והפינטק ומיוחס לאותה קבוצה מאחורי מבצע AppleJeus. [1, 2, 3] מפורט על ידי קספרסקי ב-2018.

'זה כלל פגיעה לפחות בשני אתרי אינטרנט לגיטימיים של חברות פינטק ואירוח iframes נסתרים כדי לספק את ערכת הניצול למבקרים. במקרים אחרים, אנו רואים אתרים מזויפים, שכבר הוגדרו להפצת אפליקציות קריפטוגרפיות טרויאניות, מארחים iframes ומפנים את המבקרים שלהם לערכת הניצול' - Google TAG

כמו בקמפיין הקודם, גם קבוצה זו רשמה דומיינים חדשים והתפשרה על כמה לגיטימיים.

אתר מזויף שסיפק אפליקציות קריפטו זדוניות (תג Google)

הגנה על שרשרת הניצול

בניתוח הניצול, החוקרים גילו שלתוקף היו תכונות הגנה מובנות שהקשו על ההתאוששות מהשלבים המרובים של הניצול הנדרשים כדי להתפשר על מטרות.

לדוגמה, ה-iframe עם הקישור לערכת ה-exploit הוגש בזמנים ספציפיים, חלק מהמטרות קיבלו מזהים ייחודיים (כדי לשרת את ה-exploit רק פעם אחת), כל שלב בערכה הוצפן (גם תגובות הלקוח) והועבר לרמה הגבוהה בית ספר. השלבים יהיו תלויים בהצלחתו של הקודם.

החוקרים אומרים שהפעילות הראשונית של הערכה הייתה טביעת אצבע של מערכת היעד על ידי איסוף פרטים כמו סוכן משתמש ורזולוציית מסך.

אם נתונים אלה תאמו לסט של דרישות ספציפיות (לא ידוע בשלב זה), הלקוח יקבל ביצוע קוד מרחוק (RCE) מ-Chrome וקוד Javascript המבקש יציאה לארגז חול כדי לצאת מהגבלות הדפדפן. אתר למערכת.

עם זאת, Google TAG לא הצליחה לאחזר אף אחד מהשלבים שבאו בעקבות השלב הראשוני של ביצוע קוד מרחוק.

החוקרים מצאו ראיות לכך שהאקרים צפון קוריאנים לא התעניינו רק במשתמשי Google Chrome וגם בדקו משתמשי Safari ב-macOS ו-Firefox, והפנו אותם לקישורים ספציפיים בשרתי ניצול ידועים. '.

עם זאת, בזמן הניתוח, כתובות האתרים שנצפו לא החזירו תגובות.

רשימה מלאה של אינדיקטורים לפשרה, כולל כתובות אתרים לניצול ודומיינים שנרשמו על ידי תוקפים, זמינה בדוח Google TAG.

מה אתה חושב?