Google: twee Noord-Koreaanse hackersgroepen vielen Amerikaanse bedrijven aan

Googles Threat Analysis Group heeft ontdekt dat twee Noord-Koreaanse hackerscollectieven vorige maand aanvallen hebben uitgevoerd op Amerikaanse bedrijven. Ze deden dat door een kwetsbaarheid in Chrome uit te buiten. De kwetsbaarheid is sinds vorige maand gedicht.

Volgens Googles Threat Analysis Group werkten de twee groepen voor dezelfde opdrachtgever, vermoedelijk de Noord-Koreaanse overheid, en gebruiken ze dezelfde exploitkit om een kwetsbaarheid in Chrome, CVE-2022-0609, te misbruiken. Beide groepen hadden wel elk andere doelstellingen en methodieken. De kwetsbaarheid werd volgens Google op 14 februari gedicht.

Het eerste hackerscollectief ondernam een aanval, genaamd Operation Dream Job, waarbij meer dan 250 werknemers uit mediabedrijven, webhostingbedrijven en softwarebedrijven geviseerd werden. De werknemers kregen een mail toegestuurd met daarin een jobaanbieding van Disney, Google of Oracle. De mail leek van vacaturesites als Indeed of ZipRecruiter te komen en als het slachtoffer de link naar de jobverwijzing aanklikte, kreeg hij een vervalste website te zien waarin een verborgen iframe een exploitkit begon te laden.

Het tweede hackerscollectief richtte zich met Operation AppleJeus op 85 gebruikers in de cryptocurrency- en fintechindustrie. Het gebruikte volgens Google dezelfde exploitkit als de eerste groep. Volgens Google werden twee fintechbedrijven getroffen, waardoor de hackers verborgen iframes konden laden op de landingspagina van die websites. Er werden ook malafide websites gehost waarop Trojaanse paarden werden verspreid en dezelfde iframes actief waren. Die iframes verwezen ook naar dezelfde exploitkits.

De beveiligingsonderzoekers van Google achterhaalden dat de exploitkits een JavaScript-script laadden om de computers van de getroffen gebruikers te fingerprinten. Het script verzamelde informatie over het apparaat en stuurde die vervolgens door naar een server. Als aan bepaalde criteria werd voldaan, werd een exploit voor een Chrome-kwetsbaarheid toegestuurd. Als er toegang verkregen kon worden tot het systeem, werd een volgend script toegestuurd waardoor een sandbox escape mogelijk werd en verdere toegang tot het apparaat mogelijk werd. Welke handelingen de exploit daarna uitvoerde, konden de onderzoekers van Google niet achterhalen. Ze stelden vast dat de hackers meerdere maatregelen troffen die het zeer moeilijk maakten om inzicht te krijgen in het verdere verloop van de aanval.

E-mail die de hackers gebruikten tijdens Operation Dream Job
E-mail die de hackers gebruikten tijdens Operation Dream Job

Door Jay Stout

Redacteur

24-03-2022 • 21:00

3

Reacties (3)

Sorteer op:

Weergave:

De doelgroep is wel treffend als ik het plaatje bekijk. Bij ons op het werk noemen we ze de 'Marketing Muppets' en zijn ze wars van techniek, technische mogelijkheden & beperkingen en overschatten ze hun eigen inzicht daarin.
Dat geldt voor het merendeel vd. gebruikers. De meeste mensen zijn zich totaal niet bewust wat de gevolgen zijn van phishing & weten ook niet hoe gemakkelijk het is om op die manier een systeem binnen te dringen. Ik heb in ieder geval de indruk dat de meeste hacks plaats vinden, via phising.
indeedus.org werd al op 10 feb geblokkeerd door Google Safe Browsing.
https://transparencyrepor...ttp:%2F%2Findeedus.org%2F
4 dagen later was er een patch.

Op dit item kan niet meer gereageerd worden.