Googles Threat Analysis Group heeft ontdekt dat twee Noord-Koreaanse hackerscollectieven vorige maand aanvallen hebben uitgevoerd op Amerikaanse bedrijven. Ze deden dat door een kwetsbaarheid in Chrome uit te buiten. De kwetsbaarheid is sinds vorige maand gedicht.
Volgens Googles Threat Analysis Group werkten de twee groepen voor dezelfde opdrachtgever, vermoedelijk de Noord-Koreaanse overheid, en gebruiken ze dezelfde exploitkit om een kwetsbaarheid in Chrome, CVE-2022-0609, te misbruiken. Beide groepen hadden wel elk andere doelstellingen en methodieken. De kwetsbaarheid werd volgens Google op 14 februari gedicht.
Het eerste hackerscollectief ondernam een aanval, genaamd Operation Dream Job, waarbij meer dan 250 werknemers uit mediabedrijven, webhostingbedrijven en softwarebedrijven geviseerd werden. De werknemers kregen een mail toegestuurd met daarin een jobaanbieding van Disney, Google of Oracle. De mail leek van vacaturesites als Indeed of ZipRecruiter te komen en als het slachtoffer de link naar de jobverwijzing aanklikte, kreeg hij een vervalste website te zien waarin een verborgen iframe een exploitkit begon te laden.
Het tweede hackerscollectief richtte zich met Operation AppleJeus op 85 gebruikers in de cryptocurrency- en fintechindustrie. Het gebruikte volgens Google dezelfde exploitkit als de eerste groep. Volgens Google werden twee fintechbedrijven getroffen, waardoor de hackers verborgen iframes konden laden op de landingspagina van die websites. Er werden ook malafide websites gehost waarop Trojaanse paarden werden verspreid en dezelfde iframes actief waren. Die iframes verwezen ook naar dezelfde exploitkits.
De beveiligingsonderzoekers van Google achterhaalden dat de exploitkits een JavaScript-script laadden om de computers van de getroffen gebruikers te fingerprinten. Het script verzamelde informatie over het apparaat en stuurde die vervolgens door naar een server. Als aan bepaalde criteria werd voldaan, werd een exploit voor een Chrome-kwetsbaarheid toegestuurd. Als er toegang verkregen kon worden tot het systeem, werd een volgend script toegestuurd waardoor een sandbox escape mogelijk werd en verdere toegang tot het apparaat mogelijk werd. Welke handelingen de exploit daarna uitvoerde, konden de onderzoekers van Google niet achterhalen. Ze stelden vast dat de hackers meerdere maatregelen troffen die het zeer moeilijk maakten om inzicht te krijgen in het verdere verloop van de aanval.
/i/1286721156.png?f=fpa)
/i/2005017354.png?f=fpa)
/i/2004628658.png?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
:strip_exif()/i/2004999324.jpeg?f=fpa)
:strip_exif()/i/2004999070.jpeg?f=fpa)
:strip_exif()/i/2004607492.jpeg?f=fpa)
:strip_exif()/i/2004648162.jpeg?f=fpa)
:strip_exif()/i/2004996958.jpeg?f=fpa)
/u/417314/url.png?f=community){kind=small}
/u/1533218/crop6202456a20713.png?f=community){kind=small}