瞄准美国，来自朝鲜的网络攻击被谷歌成功瘫痪

谷歌的威胁分析小组（TAG）刚刚宣布，它在二月份发现了两组名为"梦想工作行动"和"苹果Jeus行动"的朝鲜黑客。

这两组黑客都声称正在利用Chrome网络浏览器中的远程代码执行（REC）漏洞。主要目标是位于美国的在线媒体，IT，加密货币和金融科技渠道。

但是，Google设法在2月14日修补了该漏洞。鉴于所有攻击者都使用相同的漏洞利用工具包，TAG推测他们可能都共享相同的恶意软件供应链，并且来自朝鲜的其他可能的威胁行为者也可以访问共享工具。

"其他朝鲜政府支持的攻击者可能可以访问相同的利用设备，"谷歌说。

Operation Dream Job针对10家公司的250人，他们从虚假账户发送了迪士尼和甲骨文等虚假工作机会，使其看起来像是来自Indeed或ZipRecruiter。

另一方面，苹果的Operation Jeus针对的是加密货币和金融科技行业中超过85名使用相同漏洞利用工具包的用户。这项工作涉及至少两个合法的金融科技公司网站，并托管隐藏的iframe，以向访问者展示漏洞利用工具包。

攻击者还使用了一些复杂的方法来隐藏他们的活动。其中包括仅在目标访问网站的时间段内打开 iframe、链接中用于一次性单击实现的唯一 URL、漏洞利用步骤中基于 AES 的加密以及利用路径的原子性。

"在其他情况下，我们观察到虚假网站，这些网站已经设置为分发托管iframe的特洛伊木马加密货币应用程序，并将其访问者引导到漏洞利用工具包，"谷歌说。

谷歌解释说，该工具包最初提供一些高度模糊的javascript，用于对目标系统进行指纹识别。

"此脚本收集所有可用的客户端信息，如用户代理、解析等，然后将其发送回漏洞利用服务器。如果满足一组未知要求，客户端将出现Chrome RCE漏洞和一些额外的javascript。

"如果 RCE 成功，javascript 将提示脚本中提到的下一阶段为 SBX，这是 Sandbox Escape 的常见首字母缩略词。

Google希望通过分享这些详细信息，可以鼓励用户更新浏览器以接收最新的安全更新，并在Chrome中启用增强的安全浏览功能。