聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
谷歌 TAG 團隊發布報告詳述了和該漏洞利用攻擊活動相關的戰術、技術和程序 (TTPs),該漏洞被用於攻擊330多名個人。攻擊者通過郵件、虛假網站或受陷的合法站點實施攻擊,最終激活了CVE-2022-0609的利用工具包。
谷歌 TAG 團隊在2月10日發現了這些攻擊活動,並在四天後緊急發布補丁修復該漏洞。然而,研究人員指出,該漏洞早在2022年1月4日就被利用。研究員在分析中發現其中一個攻擊組織使用的基礎設施和去年發現的朝鮮國家黑客組織使用的基礎設施(利用虛假的推特和LinkedIn賬號攻擊安全研究員)之間存在直接重疊關係。
其中一個朝鮮黑客組織專門攻擊「為10家不同的新聞媒體、域名註冊商、web 託管提供商和軟件廠商工作的250名人員」。
該活動和「夢想工作行動 (Operation Dream Job)」一致,ClearSky 公司的研究員曾在2020年8月對後者進行過詳細闡述。攻擊者通過虛假的美國國防和航天公司如波音、麥道、BAE等工作邀約誘騙受害者。
在這次活動中,研究人員發現攻擊者通過虛假的迪士尼、谷歌、甲骨文工作招聘機會向受害者發布釣魚郵件,「這些郵件中包含的鏈接欺騙合法的招聘網站如Indeed 和 ZipRecruiter」,點擊這些鏈接將使受害者收到觸發利用工具包的隱藏嵌入式框架。為實施這一攻擊,黑客註冊了一些域名如 disneycareers[.]net 和finddreamjob[.]com,而且還攻陷了至少一家合法網站。
研究人員發現的第二起攻擊活動也利用了CVE-2022-0609 利用工具包,攻擊從事密幣和金融技術行業的85名用戶,被指由發動「AppleJeus 行動」的組織實施,卡巴斯基實驗室曾在2018年對此進行過分析。和之前攻擊活動一樣,該組織也註冊了新域名並攻陷了幾個合法站點。
研究人員在分析該利用時發現,攻擊者集成了多個防護特性,使得用戶更加難以恢復用於攻陷這些目標的多個利用階段。
例如,含有利用工具包鏈接的嵌入式框架在特定時間發動,某些目標收到唯一的ID(僅發布一次exploit)、利用工具包的每個階段都被加密,轉向第二個階段取決於此前階段是否成功。
研究人員表示該利用工具包的初始活動是通過收集user-agent 和屏幕分辨率等詳情為目標系統進行指紋識別。如果該數據滿足特定要求(目前未知),則客戶端會收到一個 Chrome 遠程代碼執行和 Javascript 代碼,請求沙箱逃逸,從而將web瀏覽器中的限制移到系統上。然而,谷歌TAG無法恢復初始遠程代碼執行階段之後的任意階段。
研究人員發現朝鮮黑客組織不僅對Chrome 用戶感興趣,而且還會檢查macOS 和 Firefox上的 Safari 用戶,將他們導向「已知利用服務器上的特定鏈接」。然而,在目前分析階段,所觀察到的URL並未返回任何響應。
具體詳情分析可見:https://blog.google/threat-analysis-group/countering-threats-north-korea/
谷歌Chrome 緊急修復已遭利用的0day
谷歌Chrome 緊急修復已遭利用的兩個0day
儘快更新!Chrome 修復兩個已遭在野利用的 0day
谷歌緊急修復已遭在野利用的Chrome 0day
立即更新 Chrome 瀏覽器!這個 0day 已遭在野利用
https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-chrome-zero-day-weeks-before-patch/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表