Piratas de computador da Coréia do Norte explodem Chrome Zero dias antes do patch

Hackers estatais norte-coreanos exploraram uma vulnerabilidade de execução remota de código de dia zero no navegador Google Chrome por mais de um mês antes de um patch ser disponibilizado, em ataques direcionados a meios de comunicação, empresas de Internet e empresas de Internet. TI, criptomoedas e organizações fintech.

O Grupo de Análise de Ameaças do Google (TAG) atribuiu duas campanhas que exploram o CVE-2022-0609 recentemente corrigido (descrito apenas como "usar após livre em Animação" neste momento) a dois grupos de invasores separados apoiados pelo governo.

Exploit implantado ativamente desde o início de janeiro

Em um relatório compartilhado antecipadamente com a BleepingComputer, o Google TAG detalha as táticas, técnicas e procedimentos (TTPs) relacionados a essas atividades, visando mais de 330 pessoas.

As vítimas foram alvo de e-mails, sites falsos ou sites legítimos comprometidos que, em última análise, acionaram o kit de exploração para CVE-2022-0609.

Exemplo de e-mail de phishing usado em campanhas (Google TAG)

O Google TAG descobriu as campanhas em 10 de fevereiro e abordou a vulnerabilidade em uma atualização de emergência para o Google Chrome quatro dias depois.

No entanto, os pesquisadores dizem que os primeiros sinais da exploração ativa da vulnerabilidade de dia zero foram encontrados em 4 de janeiro de 2022.

A conexão com hackers norte-coreanos, também conhecidos como Lazarus Group, se dá por meio de uma das campanhas, cuja infraestrutura se sobrepõe diretamente a outra atividade atribuída ao mesmo ator de ameaça no ano passado: atacar pesquisadores de segurança usando redes sociais falsas Twitter e LinkedIn. contas de mídia

Violação de sites legítimos para servir a exploração

Um dos dois subgrupos de ameaças norte-coreanos tinha como alvo mais de "250 pessoas trabalhando para 10 meios de comunicação diferentes, registradores de domínio, hosts da web e fornecedores de software".

O Google TAG observa que essa atividade é consistente com a Operação Dream Job, uma campanha de espionagem cibernética norte-coreana detalhada por pesquisadores da ClearSky em agosto de 2020.

A Operação Dream Job atraiu vítimas com ofertas de trabalho falsas das principais empresas aeroespaciais e de defesa dos EUA, incluindo Boeing, McDonnell Douglas e BAE.

O Google TAG observa que a campanha descobriu que os alvos receberam e-mails de phishing com falsas oportunidades de emprego de recrutadores da Disney, Google e Oracle.

Os e-mails continham links que falsificavam sites legítimos de busca de emprego, como o Indeed e o ZipRecruiter, explicam os pesquisadores, acrescentando que clicar neles enviaria às vítimas um iframe oculto que acionaria o kit de exploração.

Para os fins desta campanha, o invasor registrou alguns domínios, como disneycareers[.]net e find-dreamjob[.]com, mas também comprometeu pelo menos um site legítimo.

Site de emprego falso usado para ativar o kit de exploração (Google TAG)

A segunda campanha descoberta pelo Google TAG para usar o mesmo kit de exploração para CVE-2022-0609 teve como alvo mais de 85 usuários nas indústrias de criptomoedas e fintech e é atribuída ao mesmo grupo por trás da Operação AppleJeus. [1, 2, 3]Detalhado pela Kaspersky em 2018.

"Isso inclui comprometer pelo menos dois sites legítimos de empresas de tecnologia financeira e hospedar iframes ocultos para entregar o kit de exploração aos visitantes. seus visitantes ao kit de exploração" – Google TAG

Assim como na campanha anterior, esse grupo também registrou novos domínios e comprometeu alguns legítimos.

Site falso que forneceu aplicativos de criptografia maliciosos (Google TAG)

Proteção da cadeia de exploração

Analisando a exploração, os pesquisadores descobriram que o invasor tinha recursos de proteção integrados que dificultavam a recuperação dos vários estágios da exploração necessários para comprometer os alvos.

Por ejemplo, el iframe con el enlace al kit de explotacin se sirvi en momentos especficos, algunos objetivos recibieron ID nicos (para servir la explotacin solo una vez), cada etapa del kit se cifr (las respuestas del cliente tambin) y se pas a a secundária. etapas dependeria do sucesso da anterior.

Os pesquisadores dizem que a atividade inicial do kit foi a impressão digital do sistema alvo, coletando detalhes como agente do usuário e resolução da tela.

Se esses dados corresponderem a um conjunto de requisitos específicos (desconhecidos no momento), o cliente receberá uma execução remota de código (RCE) do Chrome e do código Javascript solicitando um escape da sandbox para sair dos confinamentos do navegador.

No entanto, o Google TAG não conseguiu recuperar nenhuma das etapas que seguiram a etapa inicial de execução remota de código.

Os pesquisadores encontraram evidências de que os hackers norte-coreanos não estavam apenas interessados ​​nos usuários do Google Chrome e também verificaram os usuários do Safari no macOS e no Firefox, direcionando-os "para links específicos em servidores de exploração conhecidos".

No entanto, no momento da análise, as URLs observadas não retornaram nenhuma resposta.

Uma lista completa de indicadores de comprometimento, incluindo URLs de exploração e domínios registrados por invasores, está disponível no relatório do Google TAG.

  • Como (e por que) executar uma redefinição netsh winsock no Windows
  • Como mostrar a porcentagem de bateria no iPhone 11

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

O que é criptografia SDN?

O token Shiden ( SDN ) em qualquer caso, é um token do tipo utilitário dentro da rede. Sua principal função é permitir o lockdrop e mecanismo de incentivo de todos os participantes da rede.

O que é Shiden?

O termo " Shiden " faz parte da linguagem " shiden 'issen" (紫電一閃, lit. "Flash of Violet Light"), que se refere ao lampejo de uma espada ou ao rápido balanço de uma espada semelhante ao relâmpago. No anime, Boruto usou a técnica usando a Manopla Shinobi.

Ir arriba