谷歌的威胁分析小组(TAG)刚刚宣布,它在二月份发现了两组名为"梦想工作行动"和"苹果Jeus行动"的朝鲜黑客。
这两组黑客都声称正在利用Chrome网络浏览器中的远程代码执行(REC)漏洞。主要目标是位于美国的在线媒体,IT,加密货币和金融科技渠道。
但是,Google设法在2月14日修补了该漏洞。鉴于所有攻击者都使用相同的漏洞利用工具包,TAG推测他们可能都共享相同的恶意软件供应链,并且来自朝鲜的其他可能的威胁行为者也可以访问共享工具。
"其他朝鲜政府支持的攻击者可能可以访问相同的利用设备,"谷歌说。
Operation Dream Job针对10家公司的250人,他们从虚假账户发送了迪士尼和甲骨文等虚假工作机会,使其看起来像是来自Indeed或ZipRecruiter。
另一方面,苹果的Operation Jeus针对的是加密货币和金融科技行业中超过85名使用相同漏洞利用工具包的用户。这项工作涉及至少两个合法的金融科技公司网站,并托管隐藏的iframe,以向访问者展示漏洞利用工具包。
攻击者还使用了一些复杂的方法来隐藏他们的活动。其中包括仅在目标访问网站的时间段内打开 iframe、链接中用于一次性单击实现的唯一 URL、漏洞利用步骤中基于 AES 的加密以及利用路径的原子性。
"在其他情况下,我们观察到虚假网站,这些网站已经设置为分发托管iframe的特洛伊木马加密货币应用程序,并将其访问者引导到漏洞利用工具包,"谷歌说。
谷歌解释说,该工具包最初提供一些高度模糊的javascript,用于对目标系统进行指纹识别。
"此脚本收集所有可用的客户端信息,如用户代理、解析等,然后将其发送回漏洞利用服务器。如果满足一组未知要求,客户端将出现Chrome RCE漏洞和一些额外的javascript。
"如果 RCE 成功,javascript 将提示脚本中提到的下一阶段为 SBX,这是 Sandbox Escape 的常见首字母缩略词。
Google希望通过分享这些详细信息,可以鼓励用户更新浏览器以接收最新的安全更新,并在Chrome中启用增强的安全浏览功能。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
