瞄准美国,来自朝鲜的网络攻击被谷歌成功瘫痪

谷歌的威胁分析小组(TAG)刚刚宣布,它在二月份发现了两组名为"梦想工作行动"和"苹果Jeus行动"的朝鲜黑客。

这两组黑客都声称正在利用Chrome网络浏览器中的远程代码执行(REC)漏洞。主要目标是位于美国的在线媒体,IT,加密货币和金融科技渠道。

但是,Google设法在2月14日修补了该漏洞。鉴于所有攻击者都使用相同的漏洞利用工具包,TAG推测他们可能都共享相同的恶意软件供应链,并且来自朝鲜的其他可能的威胁行为者也可以访问共享工具。

"其他朝鲜政府支持的攻击者可能可以访问相同的利用设备,"谷歌说。

Operation Dream Job针对10家公司的250人,他们从虚假账户发送了迪士尼和甲骨文等虚假工作机会,使其看起来像是来自Indeed或ZipRecruiter。

另一方面,苹果的Operation Jeus针对的是加密货币和金融科技行业中超过85名使用相同漏洞利用工具包的用户。这项工作涉及至少两个合法的金融科技公司网站,并托管隐藏的iframe,以向访问者展示漏洞利用工具包。

攻击者还使用了一些复杂的方法来隐藏他们的活动。其中包括仅在目标访问网站的时间段内打开 iframe、链接中用于一次性单击实现的唯一 URL、漏洞利用步骤中基于 AES 的加密以及利用路径的原子性。

"在其他情况下,我们观察到虚假网站,这些网站已经设置为分发托管iframe的特洛伊木马加密货币应用程序,并将其访问者引导到漏洞利用工具包,"谷歌说。

谷歌解释说,该工具包最初提供一些高度模糊的javascript,用于对目标系统进行指纹识别。

"此脚本收集所有可用的客户端信息,如用户代理、解析等,然后将其发送回漏洞利用服务器。如果满足一组未知要求,客户端将出现Chrome RCE漏洞和一些额外的javascript。

"如果 RCE 成功,javascript 将提示脚本中提到的下一阶段为 SBX,这是 Sandbox Escape 的常见首字母缩略词。

Google希望通过分享这些详细信息,可以鼓励用户更新浏览器以接收最新的安全更新,并在Chrome中启用增强的安全浏览功能。