主页(http://www.kuwanit.com):朝鲜黑客组织利用 Chrome 0day 漏洞进行攻击活动
朝鲜黑客组织在补丁发布前一周利用 Chrome 0day 漏洞。
CVE-2022-0609 漏洞是 Chrome 浏览器中的一个远程代码执行漏洞。2 月 10 日,谷歌威胁分析组(TAG)研究人员发现 2 个有朝鲜政府背景的黑客组织利用该漏洞进行攻击活动。黑客组织的攻击活动有 Operation Dream Job 和 Operation AppleJeus。研究人员发现漏洞利用组件被部署的时间是 1 月 4 日,而补丁发布时间为 2 月 14 日,这表明黑客已经利用了该漏洞超过 1 个月的时间。
针对新闻媒体和 IT 公司的攻击活动
Operation Dream Job 攻击活动攻击了 250 个来自 10 个不同新闻媒体行业、域名注册服务商、web 服务提供商和软件厂商的个人。目标会收到伪造的来自迪士尼、谷歌和 oracle 公司的招聘信息的邮件。而邮件中含有欺骗性的合法招聘网站的链接。
受害者点击邮件中的链接后就会触发一个隐藏的 iframe 来启动漏洞利用套件。
攻击者控制的伪造的招聘网站域名有:
disneycareers [ . ] net
find-dreamjob [ . ] com
indeedus [ . ] org
varietyjob [ . ] com
ziprecruiters [ . ] org
漏洞利用 URL 包括:
https [ : ] //colasprint [ . ] com/about/about.asp ( 该网站是一个被入侵的合法网站 )
https [ : ] //varietyjob [ . ] com/sitemap/sitemap.asp
针对加密货币和金融科技公司的攻击活动
Operation AppleJeus 利用同一个漏洞利用套件攻击了加密货币和金融科技行业的 85 个用户,并成功入侵了至少 2 个金融科技公司网站,并植入了隐藏的 iframe。研究人员还发现攻击者搭建了一些伪造的网站来传播木马化的加密货币应用,隐藏了 iframe 并将访问者指向漏洞利用套件。
blockchainnews [ . ] vip
chainnews-star [ . ] com
financialtimes365 [ . ] com
fireblocks [ . ] vip
gatexpiring [ . ] com
gbclabs [ . ] com
giantblock [ . ] org
humingbot [ . ] io
onlynova [ . ] org
teenbeanjs [ . ] com
被黑客组织成功入侵的网站有(2 月 7 日 -2 月 9 日):
[ . ] com
[ . ] com
漏洞利用 URL 有:
https [ : ] //financialtimes365 [ . ] com/user/finance.asp
https [ : ] //gatexpiring [ . ] com/gate/index.asp
https [ : ] //humingbot [ . ] io/cdn/js.asp
https [ : ] //teenbeanjs [ . ] com/cloud/javascript.asp
漏洞利用套件
在攻击活动中,攻击者使用了一个包含多阶段和多组件的漏洞利用套件来攻击用户。攻击者利用隐藏的 iframe 来指向漏洞利用套件链接,嵌入在攻击者攻击的网站和攻击者入侵的网站中。
此外,攻击者还部署了多种措施使得安全研究人员难以恢复出任一阶段,具体包括:
只在特定时间为作为 iframe;
在一些邮件攻击活动中,目标收到的链接中都带由唯一的 ID;
漏洞利用套件会使用 AES 加密对每一阶段解密,包括客户端响应消息。
如果前一阶段失败,后续阶段就不会进行。
2 月 14 日补丁发布后,研究人员还发现了多次尝试利用该漏洞的攻击活动。因此,研究人员建议用户尽快安装补丁。
完整技术分析参见:https://blog.google/threat-analysis-group/countering-threats-north-korea/
发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。