25/03/22
Северокорейские хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в браузере Google Chrome в ходе атак на средства массовой информации, IT-компании, криптовалютные и финансовые организации.
Команда специалистов Threat Analysis Group (TAG) компании Google связала две вредоносные кампании, использующие уязвимость CVE-2022-0609, с двумя группировками, поддерживаемыми правительством Северной Кореи.
Киберпреступники рассылали потенциальным жертвам электронные письма, обманом заставляли посетить поддельные сайты или скомпрометированные легитимные web-сайты, которые в конечном итоге активировали набор эксплоитов для CVE-2022-0609.
Google TAG обнаружила кампании 10 февраля нынешнего года и устранила уязвимость в экстренном обновлении Google Chrome четыре дня спустя. Самые ранние признаки эксплуатации уязвимости нулевого дня были обнаружены 4 января 2022 года.
Одна из двух северокорейских группировок атаковала более чем 250 человек, работающих в 10 различных СМИ, регистраторах доменов, хостинг-провайдерах и поставщиках программного обеспечения. По словам экспертов, данная деятельность совпадает с северокорейской кампанией кибершпионажа Operation Dream Job, подробно описанной исследователями ClearSky в августе 2020 года.
Вторая кампания была нацелена на более чем 85 пользователей в криптовалютной сфере и индустрии финансовых технологий и связана с группировкой, стоящей за операцией AppleJeus. Действия преступников включали компрометацию как минимум двух легитимных web-сайтов финтех-компаний и размещение скрытых iframe для активации набора эксплоитов. В других случаях эксперты обнаружили поддельные сайты, настроенные для распространения троянских криптовалютных приложений.
Злоумышленники интегрировали ряд защитных функций, которые усложнили восстановление нескольких этапов эксплоита, необходимых для компрометации целей. Например, iframe со ссылкой на набор эксплоитов обслуживался в определенное время, некоторые цели получали уникальные идентификаторы, каждый этап набора шифровался (в том числе и ответы клиента), а переход на следующие этапы атаки зависели от успеха предыдущего.
Исследователи обнаружили свидетельства того, что северокорейских хакеров интересовали не только пользователи Google Chrome. Преступники также проверяли пользователей браузеров Safari и Mozilla Firefox, отправляя им специальные ссылки на серверы, подконтрольные злоумышленникам.
