谷歌:早在这个0day 补丁发布前几周,朝鲜国家黑客就已利用
编译:代码卫士
谷歌 TAG 团队发布报告详述了和该漏洞利用攻击活动相关的战术、技术和程序 (TTPs),该漏洞被用于攻击330多名个人。攻击者通过邮件、虚假网站或受陷的合法站点实施攻击,最终激活了CVE-2022-0609的利用工具包。
谷歌 TAG 团队在2月10日发现了这些攻击活动,并在四天后紧急发布补丁修复该漏洞。然而,研究人员指出,该漏洞早在2022年1月4日就被利用。研究员在分析中发现其中一个攻击组织使用的基础设施和去年发现的朝鲜国家黑客组织使用的基础设施(利用虚假的推特和LinkedIn账号攻击安全研究员)之间存在直接重叠关系。
其中一个朝鲜黑客组织专门攻击“为10家不同的新闻媒体、域名注册商、web 托管提供商和软件厂商工作的250名人员”。
该活动和“梦想工作行动 (Operation Dream Job)”一致,ClearSky 公司的研究员曾在2020年8月对后者进行过详细阐述。攻击者通过虚假的美国国防和航天公司如波音、麦道、BAE等工作邀约诱骗受害者。
在这次活动中,研究人员发现攻击者通过虚假的迪士尼、谷歌、甲骨文工作招聘机会向受害者发布钓鱼邮件,“这些邮件中包含的链接欺骗合法的招聘网站如Indeed 和 ZipRecruiter”,点击这些链接将使受害者收到触发利用工具包的隐藏嵌入式框架。为实施这一攻击,黑客注册了一些域名如 disneycareers[.]net 和finddreamjob[.]com,而且还攻陷了至少一家合法网站。
研究人员发现的第二起攻击活动也利用了CVE-2022-0609 利用工具包,攻击从事密币和金融技术行业的85名用户,被指由发动“AppleJeus 行动”的组织实施,卡巴斯基实验室曾在2018年对此进行过分析。和之前攻击活动一样,该组织也注册了新域名并攻陷了几个合法站点。
研究人员在分析该利用时发现,攻击者集成了多个防护特性,使得用户更加难以恢复用于攻陷这些目标的多个利用阶段。
例如,含有利用工具包链接的嵌入式框架在特定时间发动,某些目标收到唯一的ID(仅发布一次exploit)、利用工具包的每个阶段都被加密,转向第二个阶段取决于此前阶段是否成功。
研究人员表示该利用工具包的初始活动是通过收集user-agent 和屏幕分辨率等详情为目标系统进行指纹识别。如果该数据满足特定要求(目前未知),则客户端会收到一个 Chrome 远程代码执行和 Javascript 代码,请求沙箱逃逸,从而将web浏览器中的限制移到系统上。然而,谷歌TAG无法恢复初始远程代码执行阶段之后的任意阶段。
研究人员发现朝鲜黑客组织不仅对Chrome 用户感兴趣,而且还会检查macOS 和 Firefox上的 Safari 用户,将他们导向“已知利用服务器上的特定链接”。然而,在目前分析阶段,所观察到的URL并未返回任何响应。
具体详情分析可见:https://blog.google/threat-analysis-group/countering-threats-north-korea/
https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-chrome-zero-day-weeks-before-patch/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。