北朝鮮のハッカーが、米国の何百ものターゲットにChromeのゼロデイエクスプロイトを解き放ちました

ゲッティイメージズ

グーグルは木曜日、北朝鮮政府に支援されたハッカーが、ニュースメディア、IT、暗号通貨、金融サービスなど、幅広い業界で働く何百人もの人々のコンピューターに感染しようとして、重要なChromeゼロデイ攻撃を悪用したと述べた。

CVE-2022-0609として追跡されたこの欠陥は、2つの別々の北朝鮮のハッキンググループによって悪用されました。 どちらのグループも、正当な組織に属し、ハッキングされたか、疑いを持たない訪問者に攻撃コードを提供するという明確な目的のために設定されたWebサイトに同じエクスプロイトキットを配備しました。 1つのグループはOperationDreamJobと呼ばれ、10の異なる企業で働く250人以上を対象としました。 AppleJeusとして知られるもう1つのグループは、85人のユーザーを対象としました。

夢の仕事と暗号通貨の富

「これらのグループは、共有サプライチェーンを持つ同じエンティティで機能しているため、同じエクスプロイトキットを使用していると思われますが、それぞれが異なるミッションセットで動作し、異なる技術を展開しています」と、Googleの脅威分析グループの研究者であるAdamWeidemannは述べています。 、で書いた 役職。 「他の北朝鮮政府支援の攻撃者が同じエクスプロイトキットにアクセスできる可能性があります。」

オペレーションドリームジョブは、セキュリティ会社ClearSkyの研究者がグループを観察した少なくとも2020年6月から活動しています。 防衛および政府機関を対象。 悪者は、ボーイング、マクドネルダグラス、BAEなどの企業との「夢の仕事」の偽の申し出で組織内の特定の従業員を標的にしました。 ハッカーは、架空のLinkedInプロファイル、電子メール、WhatsAppメッセージ、および電話を使用した精巧なソーシャルエンジニアリングキャンペーンを考案しました。 キャンペーンの目標は、お金を盗むことと情報を収集することの両方でした。

一方、AppleJeusは少なくとも2018年にさかのぼります。そのとき、セキュリティ会社Kasperskyの研究者は北朝鮮のハッカーを見ました。 暗号通貨取引所をターゲットにする 暗号通貨取引アプリケーションを装ったマルウェアを使用します。 AppleJeusの操作は、macOS用に作成された悪意のあるアプリの使用で注目に値しました。同社の研究者によると、APT(政府が支援する「高度な持続的脅威グループ」の略)がマルウェアを使用してそのプラットフォームを標的にしたのはおそらく初めてでした。 また、グループによるマルウェアの使用も注目に値します。 メモリ内でのみ実行されました ハードドライブにファイルを書き込まずに、検出をはるかに困難にする高度な機能。

2つのグループの1つ(Weidemannはどちらを言っていませんでした)も同じ制御サーバーのいくつかを使用して セキュリティ研究者に感染する 去年。 キャンペーンでは、架空のTwitterペルソナを使用して、研究者との関係を築きました。 信頼のレベルが確立されると、ハッカーはInternet Explorerのゼロデイ攻撃か、概念実証エクスプロイトのソースコードを含むとされる悪意のあるVisualStudioプロジェクトのいずれかを使用しました。

2月、Googleの研究者は、実際に悪用されているChromeの重大な脆弱性を知りました。 会社のエンジニアがこの脆弱性を修正し、CVE-2022-0609と指定しました。 木曜日に、同社は脆弱性と2人の北朝鮮のハッカーがそれをどのように悪用したかについての詳細を提供しました。

オペレーションドリームジョブは、ディズニー、グーグル、オラクルで働く求職者からのメールをターゲットに送信しました。 電子メールに埋め込まれたリンクは、IndeedやZipRecruiterなどの合法的な就職活動サイトになりすました。 サイトには、 iframe それがエクスプロイトを引き起こしました。

使用されているページの1つの例を次に示します。

グーグル

オペレーションAppleJeusのメンバーは、少なくとも2つの合法的な金融サービス会社のWebサイトと、悪意のある暗号通貨アプリをプッシュするさまざまなアドホックサイトを侵害しました。 Dream Jobサイトと同様に、AppleJeusが使用するサイトにも、エクスプロイトをトリガーするiframeが含まれていました。

オペレーションAppleJeusにプッシュされた偽のアプリ

オペレーションAppleJeusにプッシュされた偽のアプリ

このキットにはサンドボックスエスケープがありますか?

エクスプロイトキットは、特にエクスプロイトコードを偽装し、特定の場合にのみリモートコードの実行をトリガーすることにより、攻撃を注意深く隠す方法で作成されました。 キットはまた、Chromeセキュリティサンドボックスから抜け出すために別のエクスプロイトを使用したようです。 グーグルの研究者はそのエスケープコードを特定することができず、それが悪用した脆弱性がまだパッチされていない可能性を残しました。