米国を標的に、北朝鮮からのサイバー攻撃がGoogleによって麻痺に成功

Googleの脅威分析グループ(TAG)は、2月にOperation Dream JobとOperation Apple Jeusという名前で北朝鮮のハッカーの2つのグループを発見したと発表したばかりです。

ハッカーの両方のグループは、Chromeウェブブラウザのリモートコード実行(REC)エクスプロイトを利用していると主張しました。主なターゲットは、米国に拠点を置くオンラインメディア、IT、暗号通貨、フィンテックアウトレットです。

しかし、Googleは2月14日にこの脆弱性にパッチを当てることができました。すべての攻撃者が同じエクスプロイトキットを使用しているという事実を考えると、TAGは、全員が同じマルウェアサプライチェーンを共有している可能性があり、北朝鮮の他の潜在的な脅威アクターも共有ツールにアクセスできると理論化しています。

「北朝鮮政府が支援する他の攻撃者が同じ悪用デバイスにアクセスした可能性がある」とGoogleは述べた。

オペレーション・ドリーム・ジョブは、ディズニーやオラクルなどの偽の求人が偽のアカウントから送られてきた10社の250人を標的にし、IndeedやZipRecruiterのように見えるようにしました。

一方、AppleのOperation Jeusは、同じエクスプロイトキットを使用して、暗号通貨およびフィンテック業界の85人以上のユーザーをターゲットにしています。この取り組みには、少なくとも2つの合法的なフィンテック企業のウェブサイトと、訪問者にエクスプロイトキットを提示するための隠されたiframeのホスティングが含まれていました。

攻撃者はまた、彼らの活動を隠すためにいくつかの洗練された方法を使用しました。これには、ターゲットがWebサイトにアクセスすると予想される時間帯にのみiframeを開くこと、ワンタイムクリック実装用のリンク内の一意のURL、エクスプロイトステップでのAESベースの暗号化、およびエクスプロイトパスのアトミック性が含まれます。

「他のケースでは、iframeをホストし、訪問者にキットを悪用するように指示するトロイの木馬化された暗号通貨アプリを配布するようにすでに設定されている偽のWebサイトを観察しました」とGoogleは述べています。

Googleは、このキットはもともとターゲットシステムのフィンガープリントに使用される非常に曖昧なjavascriptを提供していたと説明しました。

「このスクリプトは、ユーザーエージェント、解像度など、利用可能なすべてのクライアント情報を収集し、それをエクスプロイトサーバーに送り返します。一連の未知の要件が満たされた場合、クライアントにはChrome RCEエクスプロイトと追加のJavaScriptが表示されます。

「RCE が成功すると、JavaScript はスクリプトで SBX と呼ばれる次のステージ (サンドボックス エスケープの一般的な頭字語) をプロンプトします。

Googleは、これらの詳細を共有することで、ユーザーがブラウザを更新して最新のセキュリティアップデートを受け取り、Chromeで拡張セーフブラウジングを有効にすることを奨励することを望んでいます。