Северокорейские государственные хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в веб-браузере Google Chrome более чем за месяц до того, как стало доступно исправление, в атаках, направленных на средства массовой информации, ИТ-компании, криптовалютные и финтех-организации.
Группа анализа угроз Google (TAG) приписала две кампании, использующие недавно исправленную CVE-2022-0609 (на данный момент описываемую только как «использовать после бесплатного использования в анимации»), двум отдельным группам злоумышленников, поддерживаемым правительством Северной Кореи.
Эксплойт активно развертывается с начала января
В отчете, предварительно предоставленном BleepingComputer, Google TAG подробно описывает тактику, методы и процедуры (TTP), связанные с этими действиями, которые охватили более 330 человек.Жертвы преследовались через электронные письма, поддельные веб-сайты или скомпрометированные законные веб-сайты, которые в конечном итоге активировали набор эксплойтов для CVE-2022-0609.
Пример фишингового письма, используемого в кампаниях (Google TAG)
Google TAG обнаружил кампании 10 февраля и устранил уязвимость в экстренном обновлении Google Chrome четыре дня спустя.
Однако исследователи говорят, что самые ранние признаки активно эксплуатируемой уязвимости нулевого дня были обнаружены 4 января 2022 года.
Связь с северокорейскими хакерами, также известными как Lazarus Group, определяется одной из кампаний, которая имеет прямое совпадение инфраструктуры с другой деятельностью, приписываемой тому же злоумышленнику в прошлом году: нацеливание на исследователей безопасности с использованием поддельных Twitter и социальных сетей LinkedIn . аккаунты СМИ.
Взлом законных сайтов для использования эксплойта
Одна из двух северокорейских подгрупп по угрозам сосредоточилась на более чем «250 человек, работающих в 10 различных СМИ, регистраторах доменов, провайдерах веб-хостинга и поставщиках программного обеспечения».Google TAG отмечает, что эта деятельность согласуется с Operation Dream Job , северокорейской кампанией кибершпионажа, подробно описанной исследователями ClearSky в августе 2020 года.
Операция «Работа мечты» привлекала жертв фальшивыми предложениями работы от известных оборонных и аэрокосмических компаний США, среди которых были Boeing, McDonnell Douglas и BAE.
Google TAG отмечает, что в ходе кампании было обнаружено, что цели получали фишинговые электронные письма с поддельными вакансиями от рекрутеров из Disney, Google и Oracle.
«Электронные письма содержали ссылки, подделывающие законные веб-сайты по поиску работы, такие как Indeed и ZipRecruiter», — объясняют исследователи , добавляя, что нажатие на них предоставит жертвам скрытый iframe, который активирует набор эксплойтов.
В целях этой кампании злоумышленник зарегистрировал несколько доменов, таких как disneycareers[.]net и find-dreamjob[.]com, но также скомпрометировал как минимум один законный веб-сайт.
Поддельный сайт вакансий, используемый для запуска эксплойт-кита (Google TAG)
Вторая кампания, обнаруженная Google TAG с использованием того же набора эксплойтов для CVE-2022-0609, была нацелена на более чем 85 пользователей в криптовалютной и финтех-индустрии и приписывается той же группе, стоящей за операцией AppleJeus [ 1 , 2 , 3 ], подробно описанной «Лабораторией Касперского». в 2018 году.
«Это включало компрометацию как минимум двух законных веб-сайтов финтех-компаний и размещение скрытых iframe для предоставления набора эксплойтов посетителям. В других случаях мы наблюдали фальшивые веб-сайты, уже настроенные для распространения троянских криптовалютных приложений, размещающие iframe и указывающие своим посетителям на набор эксплойтов», — Google TAG.
Как и в предыдущей кампании, эта группа также зарегистрировала новые домены и скомпрометировала пару легитимных.
Поддельный сайт с вредоносными криптографическими приложениями (Google TAG)
Защита цепочки эксплойтов
Анализируя эксплойт, исследователи обнаружили, что злоумышленник интегрировал несколько функций защиты, которые усложнили восстановление нескольких этапов эксплойта, необходимых для компрометации целей.Например, iframe со ссылкой на эксплойт-кит обслуживался в определенное время, некоторые цели получали уникальные идентификаторы (чтобы эксплойт обслуживался только один раз), каждый этап комплекта шифровался (в том числе и ответы клиента), и переход на вторичный этапы будут зависеть от успеха предыдущего.
Исследователи говорят, что первоначальная активность комплекта заключалась в снятии отпечатков пальцев целевой системы путем сбора таких сведений, как пользовательский агент и разрешение экрана.
Если эти данные соответствовали набору конкретных требований (в настоящее время неизвестных), клиент получал удаленное выполнение кода Chrome (RCE) и код Javascript, который запрашивал выход из песочницы, чтобы выйти из ограничений веб-браузера в систему.
Однако Google TAG не удалось восстановить ни один из этапов, следующих за начальным этапом удаленного выполнения кода.
Исследователи обнаружили доказательства того, что северокорейских хакеров интересовали не только пользователи Google Chrome, они также проверяли пользователей Safari на macOS и Firefox, направляя их «на конкретные ссылки на известные серверы эксплуатации».
Однако во время анализа наблюдаемые URL-адреса не возвращали никакого ответа.
Полный список индикаторов компрометации, включая URL-адреса эксплуатации и домены, зарегистрированные злоумышленниками, доступен в отчете Google TAG .
Перевод - Google
Bleeping Computer
