Gli hacker nordcoreani hanno scatenato l’exploit di Chrome 0-day su centinaia di obiettivi statunitensi:

Immagini Getty:

Gli hacker sostenuti dal governo della Corea del Nord hanno sfruttato un Chrome zero-day critico nel tentativo di infettare i computer di centinaia di persone che lavorano in una vasta gamma di settori, inclusi i media, l’IT, le criptovalute e i servizi finanziari, ha affermato Google giovedì.

Il difetto, tracciato come CVE-2022-0609, è stato sfruttato da due distinti gruppi di hacker nordcoreani. Entrambi i gruppi hanno implementato lo stesso exploit kit su siti Web che appartenevano a organizzazioni legittime e sono stati violati o sono stati creati con lo scopo esplicito di fornire codice di attacco a visitatori ignari. Un gruppo è stato soprannominato Operazione Dream Job e ha preso di mira più di 250 persone che lavorano per 10 aziende diverse. L’altro gruppo, noto come AppleJeus, ha preso di mira 85 utenti.

Lavori da sogno e ricchezze di criptovalute:

“Sospettiamo che questi gruppi lavorino per la stessa entità con una catena di approvvigionamento condivisa, da qui l’uso dello stesso kit di exploit, ma ognuno opera con una missione diversa e implementa tecniche diverse”, ha affermato Adam Weidemann, ricercatore dell’analisi delle minacce di Google gruppo. , ha scritto in un post. “È possibile che altri aggressori sostenuti dal governo nordcoreano abbiano accesso allo stesso exploit kit”.

L’operazione Dream Job è attiva almeno da giugno 2020, quando i ricercatori della società di sicurezza ClearSky hanno osservato che il gruppo prendeva di mira la difesa e le società governative. I cattivi hanno preso di mira dipendenti specifici delle organizzazioni con false offerte di un “lavoro da sogno” con aziende come Boeing, McDonnell Douglas e BAE. Gli hacker hanno ideato un’elaborata campagna di ingegneria sociale che utilizzava profili LinkedIn fittizi, e-mail, messaggi WhatsApp e telefonate. L’obiettivo della campagna era sia rubare denaro che raccogliere informazioni.

AppleJeus, nel frattempo, risale almeno al 2018. Fu allora che i ricercatori della società di sicurezza Kaspersky videro gli hacker nordcoreani prendere di mira uno scambio di criptovalute utilizzando malware che si atteggiava a un’applicazione di trading di criptovalute. L’operazione AppleJeus è stata degna di nota per l’uso di un’app dannosa scritta per macOS, che secondo i ricercatori dell’azienda è stata probabilmente la prima volta che un APT, abbreviazione di “gruppo di minacce persistenti avanzate” sostenuto dal governo, ha utilizzato malware per prendere di mira quella piattaforma. Degno di nota è stato anche l’uso da parte del gruppo di malware che veniva eseguito esclusivamente in memoria senza scrivere un file sul disco rigido, una funzionalità avanzata che rende il rilevamento molto più difficile.

Uno dei due gruppi (Weidemann non ha specificato quale) ha utilizzato anche alcuni degli stessi server di controllo per infettare i ricercatori di sicurezza l’anno scorso. La campagna ha utilizzato personaggi fittizi di Twitter per sviluppare relazioni con i ricercatori. Una volta stabilito un livello di attendibilità, gli hacker hanno utilizzato un progetto zero-day di Internet Explorer o un progetto dannoso di Visual Studio che presumibilmente conteneva codice sorgente per un exploit proof-of-concept.

A febbraio, i ricercatori di Google hanno appreso dello sfruttamento di una vulnerabilità critica in Chrome. Gli ingegneri dell’azienda hanno risolto la vulnerabilità e le hanno assegnato la designazione CVE-2022-0609. Giovedì, la società ha fornito maggiori dettagli sulla vulnerabilità e su come i due hacker nordcoreani l’hanno sfruttata.

L’operazione Dream Job ha inviato e-mail di destinazione che pretendevano di provenire da reclutatori di lavoro che lavoravano per Disney, Google e Oracle. I collegamenti incorporati nell’e-mail hanno falsificato siti di ricerca di lavoro legittimi come Indeed e ZipRecruiter. I siti contenevano un iframe che ha attivato l’exploit.

Ecco un esempio di una delle pagine utilizzate:

Google:

I membri dell’operazione AppleJeus hanno compromesso i siti Web di almeno due legittime società di servizi finanziari e una varietà di siti ad hoc che spingono app dannose di criptovaluta. Come i siti Dream Job, anche i siti utilizzati da AppleJeus contenevano iframe che hanno attivato l’exploit.

Un'app falsa inserita nell'operazione AppleJeus:

Un’app falsa inserita nell’operazione AppleJeus:

C’è una fuga sandbox in questo kit?

L’exploit kit è stato scritto in modo da nascondere accuratamente l’attacco, tra le altre cose, dissimulando il codice exploit e attivando l’esecuzione di codice remoto solo in casi selezionati. Il kit sembra anche aver utilizzato un exploit separato per uscire dalla sandbox di sicurezza di Chrome. I ricercatori di Google non sono stati in grado di determinare quel codice di escape, lasciando aperta la possibilità che la vulnerabilità sfruttata debba ancora essere rattoppata.

Leave a Comment