Cyberbezpieczeństwo jest prawie zawsze w wiadomościach ze względu na ewoluujące zagrożenia ze strony złośliwych podmiotów, a także organizacje obronne wprowadzone w celu zwalczania tych problemów. Firma Google wydała dziś ostrzeżenie , że sponsorowani przez państwo hakerzy z Korei Północnej próbują wykorzystać luki – teraz załatane – w przeglądarce Chrome.
Google Threat Intelligence Group (TAG) informuje, że 4 stycznia 2022 r. zauważyła wdrożenie zestawu exploitów w przeglądarce Chrome. Następnie, 10 lutego, śledził działalność dwóch grup wspieranych przez Koreę Północną, które również wykorzystywały ten sam problem. Celem były głównie amerykańskie wiadomości, publikacje IT, kryptowaluty i fintech. Google pomyślnie załatało tę lukę 14 lutego. Biorąc pod uwagę fakt, że wszyscy atakujący używali tego samego zestawu exploitów, firma TAG spekulowała, że wszyscy mogą korzystać z tego samego łańcucha dostaw szkodliwego oprogramowania i możliwe jest, że inni atakujący z Korei Północnej mają dostęp do wspólnych narzędzi. zbyt wiele.
Google twierdzi, że serwisy informacyjne otrzymały e-maile od hakerów udających rekruterów z Disneya, Google i Oracle. E-maile zawierały linki do fałszywych witryn, które były duplikatami portali rekrutacyjnych, takich jak ZipRecruiter i Indeed. W międzyczasie fintechom i firmom zajmującym się kryptowalutami wysłano linki do zainfekowanych stron internetowych należących do legalnych firm z branży fintech. Każda osoba, która kliknie link, otrzyma ukrytą ramkę iframe, która uruchomi exploita.
Jeśli chodzi o to, co faktycznie zrobił exploit, oto podsumowanie:
Zestaw natywnie obsługuje mocno zaciemniony javascript używany do odcisku palca systemu docelowego. Skrypt ten zebrał wszystkie dostępne informacje o kliencie, takie jak agent użytkownika, uprawnienia itp., a następnie odesłał je z powrotem do serwera exploitów. Jeśli zestaw nieznanych wymagań zostanie spełniony, klient otrzyma exploita Chrome RCE i dodatkowy javascript. Jeśli RCE się powiedzie, javascript zażąda następnego etapu, określonego w skrypcie jako „SBX”, co jest skrótem od Sandbox Escape. Niestety, nie udało nam się odzyskać żadnego z kamieni milowych, które nastąpiły po pierwotnym RCE.
Osoby atakujące wykorzystały również kilka wyrafinowanych metod, aby ukryć swoje działania. Obejmowało to otwieranie iframe tylko w przedziałach czasowych, w których oczekiwał, że cel odwiedzi witrynę, unikalne adresy URL w linkach dla jednorazowych wdrożeń, szyfrowanie oparte na AES podczas faz eksploatacji oraz atomowość potoku eksploatacji.
Chociaż 14 lutego Google naprawiło lukę w zdalnym wykonaniu kodu (RCE) w Chrome, ma nadzieję, że udostępniając te szczegóły, może zachęcić użytkowników do zaktualizowania swoich przeglądarek w celu uzyskania najnowszych aktualizacji zabezpieczeń i włączenia ulepszonego bezpiecznego przeglądania Chrome. Wspólne wskaźniki kompromisu (IoC) mogą również pomóc innym firmom i personelowi chronić się przed podobnymi działaniami. Każdy, kto był celem ataku północnokoreańskich w ciągu ostatnich kilku miesięcy, został już o tym poinformowany.
Dodaj komentarz