استهداف هجوم إلكتروني أمريكي من كوريا الشمالية أصيب بالشلل بنجاح من قبل Google
أعلنت مجموعة تحليل التهديدات التابعة لشركة Google (TAG) للتو أنها اكتشفت مجموعتين من المتسللين الكوريين الشماليين تحت اسم Operation Dream Job و Operation Apple Jeus في فبراير.
ادعت كلتا المجموعتين من المتسللين أنهم يستخدمون عمليات استغلال تنفيذ التعليمات البرمجية عن بعد (REC) في متصفح الويب Chrome. الأهداف الرئيسية هي وسائل الإعلام عبر الإنترنت ، وتكنولوجيا المعلومات ، والعملات المشفرة ، ومنافذ التكنولوجيا المالية الموجودة في الولايات المتحدة (الولايات المتحدة).
ومع ذلك ، تمكنت Google من تصحيح الثغرة الأمنية في 14 فبراير. وبالنظر إلى حقيقة أن جميع المهاجمين يستخدمون نفس مجموعة الاستغلال، فإن TAG تفترض أنهم قد يشتركون جميعا في نفس سلسلة توريد البرامج الضارة وأن الجهات الفاعلة المحتملة الأخرى في مجال التهديد من كوريا الشمالية يمكنها الوصول إلى الأدوات المشتركة أيضا.
وقالت غوغل: "من الممكن أن يكون مهاجمون آخرون مدعومون من حكومة كوريا الشمالية قد تمكنوا من الوصول إلى نفس أجهزة الاستغلال".
استهدفت عملية Dream Job 250 شخصا في 10 شركات لديها عروض عمل مزيفة مثل Disney و Oracle تم إرسالها من حسابات مزيفة لجعلها تبدو وكأنها من Indeed أو ZipRecruiter.
في حين أن عملية Jeus من Apple ، من ناحية أخرى تستهدف أكثر من 85 مستخدما في صناعات العملات المشفرة والتكنولوجيا المالية باستخدام نفس مجموعة الاستغلال. وشمل هذا الجهد ما لا يقل عن موقعين شرعيين لشركات التكنولوجيا المالية واستضافة إطارات iframe مخفية لتقديم مجموعات استغلال للزوار.
كما استخدم المهاجمون بعض الأساليب المتطورة لإخفاء أنشطتهم. ويشمل ذلك فتح إطارات iframe فقط في فترة زمنية حيث يتوقعون أن يزور الهدف موقع الويب ، وعنوان URL فريدا في الرابط لتنفيذ نقرة واحدة ، والتشفير المستند إلى AES في خطوة الاستغلال ، وذرة مسار الاستغلال.
وقالت جوجل: "في حالات أخرى، لاحظنا مواقع ويب مزيفة، تم إعدادها بالفعل لتوزيع تطبيقات العملات المشفرة المروطة التي تستضيف إطارات iframe وتوجه زوارها لاستغلال المجموعات".
أوضحت Google أن المجموعة كانت تخدم في الأصل بعض جافا سكريبت الغامضة للغاية المستخدمة لبصمات النظام المستهدف.
"يجمع هذا البرنامج النصي جميع معلومات العميل المتاحة مثل وكلاء المستخدم والقرارات وما إلى ذلك ، ثم يرسلها مرة أخرى إلى خادم الاستغلال. إذا تم استيفاء مجموعة من المتطلبات غير المعروفة ، تقديم العميل مع استغلال Chrome RCE وبعض جافا سكريبت إضافية.
"إذا نجحت RCE ، فستطلب جافا سكريبت المرحلة التالية المشار إليها في البرنامج النصي باسم SBX ، وهو اختصار شائع ل Sandbox Escape."
وتأمل Google أنه من خلال مشاركة هذه التفاصيل، يمكنها تشجيع المستخدمين على تحديث متصفحاتهم لتلقي آخر تحديثات الأمان وتمكين التصفح الآمن المحسن في Chrome.