朝鮮黑客組織利用 Chrome 0day 漏洞進行攻擊活動
朝鮮黑客組織在補丁發布前一周利用 Chrome 0day 漏洞。
谷歌研究人員發現有 2 個朝鮮黑客組織利用了 Chrome 瀏覽器中的一個遠程代碼執行 0 day 漏洞超過 1 月,用于攻擊新聞媒體、IT 公司、加密貨幣和金融科技機構。
CVE-2022-0609 漏洞是 Chrome 瀏覽器中的一個遠程代碼執行漏洞。2 月 10 日,谷歌威脅分析組(TAG)研究人員發現 2 個有朝鮮政府背景的黑客組織利用該漏洞進行攻擊活動。黑客組織的攻擊活動有 Operation Dream Job 和 Operation AppleJeus。研究人員發現漏洞利用組件被部署的時間是 1 月 4 日,而補丁發布時間為 2 月 14 日,這表明黑客已經利用了該漏洞超過 1 個月的時間。
針對新聞媒體和 IT 公司的攻擊活動
Operation Dream Job 攻擊活動攻擊了 250 個來自 10 個不同新聞媒體行業、域名注冊服務商、web 服務提供商和軟件廠商的個人。目標會收到偽造的來自迪士尼、谷歌和 oracle 公司的招聘信息的郵件。而郵件中含有欺騙性的合法招聘網站的鏈接。
有欺騙性的招聘網站示例
受害者點擊郵件中的鏈接后就會觸發一個隱藏的 iframe 來啟動漏洞利用套件。
攻擊者控制的偽造的招聘網站域名有:
- disneycareers [ . ] net
- find-dreamjob [ . ] com
- indeedus [ . ] org
- varietyjob [ . ] com
- ziprecruiters [ . ] org
漏洞利用 URL 包括:
- https [ : ] //colasprint [ . ] com/about/about.asp ( 該網站是一個被入侵的合法網站 )
- https [ : ] //varietyjob [ . ] com/sitemap/sitemap.asp
針對加密貨幣和金融科技公司的攻擊活動
Operation AppleJeus 利用同一個漏洞利用套件攻擊了加密貨幣和金融科技行業的 85 個用戶,并成功入侵了至少 2 個金融科技公司網站,并植入了隱藏的 iframe。研究人員還發現攻擊者搭建了一些偽造的網站來傳播木馬化的加密貨幣應用,隱藏了 iframe 并將訪問者指向漏洞利用套件。
攻擊者控制的網站包括:
- blockchainnews [ . ] vip
- chainnews-star [ . ] com
- financialtimes365 [ . ] com
- fireblocks [ . ] vip
- gatexpiring [ . ] com
- gbclabs [ . ] com
- giantblock [ . ] org
- humingbot [ . ] io
- onlynova [ . ] org
- teenbeanjs [ . ] com
被黑客組織成功入侵的網站有(2 月 7 日 -2 月 9 日):
- www.options-it [ . ] com
- www.tradingtechnologies [ . ] com
漏洞利用 URL 有:
- https [ : ] //financialtimes365 [ . ] com/user/finance.asp
- https [ : ] //gatexpiring [ . ] com/gate/index.asp
- https [ : ] //humingbot [ . ] io/cdn/js.asp
- https [ : ] //teenbeanjs [ . ] com/cloud/javascript.asp
漏洞利用套件
在攻擊活動中,攻擊者使用了一個包含多階段和多組件的漏洞利用套件來攻擊用戶。攻擊者利用隱藏的 iframe 來指向漏洞利用套件鏈接,嵌入在攻擊者攻擊的網站和攻擊者入侵的網站中。
漏洞利用套件使用嚴重混淆的 JS 來對目標系統進行指紋操作。JS 腳本還會收集用戶代理、解析等客戶端信息,并發送給漏洞利用服務器。在滿足了特定的條件后,客戶端會作為 Chrome 遠程代碼執行漏洞利用。如果遠程代碼執行成功,JS 會請求沙箱逃逸腳本 SBX 中引用的下一階段。但研究人員沒能成功恢復初始遠程代碼執行的任一階段。
此外,攻擊者還部署了多種措施使得安全研究人員難以恢復出任一階段,具體包括:
只在特定時間為作為 iframe;
在一些郵件攻擊活動中,目標收到的鏈接中都帶由唯一的 ID;
漏洞利用套件會使用 AES 加密對每一階段解密,包括客戶端響應消息。
如果前一階段失敗,后續階段就不會進行。
2 月 14 日補丁發布后,研究人員還發現了多次嘗試利用該漏洞的攻擊活動。因此,研究人員建議用戶盡快安裝補丁。
