鑽石舞台

朝鮮黑客組織在補丁發布前一周利用 Chrome 0day 漏洞。

谷歌研究人員發現有 2 個朝鮮黑客組織利用了 Chrome 瀏覽器中的一個遠程代碼執行 0 day 漏洞超過 1 月，用於攻擊新聞媒體、IT 公司、加密貨幣和金融科技機構。

CVE-2022-0609 漏洞是 Chrome 瀏覽器中的一個遠程代碼執行漏洞。2 月 10 日，谷歌威脅分析組（TAG）研究人員發現 2 個有朝鮮政府背景的黑客組織利用該漏洞進行攻擊活動。黑客組織的攻擊活動有 Operation Dream Job 和 Operation AppleJeus。研究人員發現漏洞利用組件被部署的時間是 1 月 4 日，而補丁發布時間為 2 月 14 日，這表明黑客已經利用了該漏洞超過 1 個月的時間。

針對新聞媒體和 IT 公司的攻擊活動

Operation Dream Job 攻擊活動攻擊了 250 個來自 10 個不同新聞媒體行業、域名註冊服務商、web 服務提供商和軟件廠商的個人。目標會收到偽造的來自迪士尼、谷歌和 oracle 公司的招聘信息的郵件。而郵件中含有欺騙性的合法招聘網站的鏈接。

有欺騙性的招聘網站示例

受害者點擊郵件中的鏈接後就會觸發一個隱藏的 iframe 來啟動漏洞利用套件。

攻擊者控制的偽造的招聘網站域名有：

disneycareers [ . ] net

find-dreamjob [ . ] com

indeedus [ . ] org

varietyjob [ . ] com

ziprecruiters [ . ] org

漏洞利用 URL 包括：

https [ : ] //colasprint [ . ] com/about/about.asp ( 該網站是一個被入侵的合法網站 )

https [ : ] //varietyjob [ . ] com/sitemap/sitemap.asp

針對加密貨幣和金融科技公司的攻擊活動

Operation AppleJeus 利用同一個漏洞利用套件攻擊了加密貨幣和金融科技行業的 85 個用戶，並成功入侵了至少 2 個金融科技公司網站，並植入了隱藏的 iframe。研究人員還發現攻擊者搭建了一些偽造的網站來傳播木馬化的加密貨幣應用，隱藏了 iframe 並將訪問者指向漏洞利用套件。

攻擊者控制的網站包括：

blockchainnews [ . ] vip

chainnews-star [ . ] com

financialtimes365 [ . ] com

fireblocks [ . ] vip

gatexpiring [ . ] com

gbclabs [ . ] com

giantblock [ . ] org

humingbot [ . ] io

onlynova [ . ] org

teenbeanjs [ . ] com

被黑客組織成功入侵的網站有（2 月 7 日 -2 月 9 日）：

www.options-it [ . ] com

www.tradingtechnologies [ . ] com

漏洞利用 URL 有：

https [ : ] //financialtimes365 [ . ] com/user/finance.asp

https [ : ] //gatexpiring [ . ] com/gate/index.asp

https [ : ] //humingbot [ . ] io/cdn/js.asp

https [ : ] //teenbeanjs [ . ] com/cloud/javascript.asp

漏洞利用套件

在攻擊活動中，攻擊者使用了一個包含多階段和多組件的漏洞利用套件來攻擊用戶。攻擊者利用隱藏的 iframe 來指向漏洞利用套件鏈接，嵌入在攻擊者攻擊的網站和攻擊者入侵的網站中。

漏洞利用套件使用嚴重混淆的 JS 來對目標系統進行指紋操作。JS 腳本還會收集用戶代理、解析等客戶端信息，並發送給漏洞利用服務器。在滿足了特定的條件後，客戶端會作為 Chrome 遠程代碼執行漏洞利用。如果遠程代碼執行成功，JS 會請求沙箱逃逸腳本 SBX 中引用的下一階段。但研究人員沒能成功恢復初始遠程代碼執行的任一階段。

此外，攻擊者還部署了多種措施使得安全研究人員難以恢復出任一階段，具體包括：

只在特定時間為作為 iframe；

在一些郵件攻擊活動中，目標收到的鏈接中都帶由唯一的 ID；

漏洞利用套件會使用 AES 加密對每一階段解密，包括客戶端響應消息。

如果前一階段失敗，後續階段就不會進行。

2 月 14 日補丁發布後，研究人員還發現了多次嘗試利用該漏洞的攻擊活動。因此，研究人員建議用戶儘快安裝補丁。