Google, Chrome internet tarayıcısında, kötü niyetli kişilerin insanları gözetlemesine ve potansiyel olarak cihazlarını ele geçirmesine izin veren ciddi bir güvenlik açığını yamaladığını doğruladı.
İçinde Blog yazısıGoogle’ın Tehdit Analizi Grubu’ndan Adam Weidemann, kusurun 4 Ocak gibi erken bir tarihte iki ayrı siber suç kuruluşu tarafından vahşi ortamda kullanıldığını söyledi.
Bu iki grup, Dream Job Operasyonu ve AppleJeus Operasyonu olarak bilinir ve her ikisinin de iddiaya göre Kuzey Kore hükümetiyle güçlü bağları vardır.
İpuçlarını temizlemek
Google’a göre, iki grup aynı güvenlik açığını kullanıyordu, ancak yaklaşımları ve hedefleri farklı. Şirket, Dream Job Operasyonunun büyük haber kuruluşlarında, alan adı kayıt şirketlerinde, barındırma sağlayıcılarında ve yazılım satıcılarında çalışan kişileri hedef alırken, AppleJeus Operasyonunun kripto para birimi ve fintech işletmelerindeki kişileri hedeflediğini söylüyor.
Yöntemleri de farklıydı. İlki, Google, Oracle veya Disney’deki boş iş pozisyonları için sahte sorular göndererek ve Indeed, ZipRecruiter veya DisneyCareers’ı taklit eden web sitelerine bağlantılar dağıtarak işe alım görevlilerinin kimliklerini üstlendi.
Bu siteler, kusurdan yararlanacak ve uzaktan kod yürütülmesine izin verecek gizli bir iframe ile yüklendi.
İkincisi, diğer yandan, sahte web siteleri oluşturarak benzer bir şey yaptı, ancak aynı zamanda meşru olanlardan taviz veriyor ve onlara silahlı iframe’ler yüklüyordu.
Araştırmacılar ayrıca, iş bittiğinde grupların izlerini saklamakta iyi olduklarını söylüyorlar. Uzak kodu çalıştırmayı başarırlarsa, hedef uç noktaya daha fazla erişim elde etmeye çalışacaklar ve ardından varlıklarının tüm izlerini kaldırmaya çalışacaklardı.
Weidemann, “Saldırganlar, güvenlik açıklarını korumaya özen göstererek, güvenlik ekiplerinin herhangi bir aşamayı kurtarmasını zorlaştırmak için birden fazla güvenlik önlemi yerleştirdi” diye yazıyor.
Google, saldırganların iframe’lerin “yalnızca belirli zamanlarda” görünmesini sağlayacağını ve kurbanların etkinleştirildikten sonra süresi dolan benzersiz bağlantılar alacağını söylüyor. Saldırının her adımı AES algoritması ile şifrelendi ve adımlardan biri başarısız olursa tüm operasyon duracaktı.
Güvenlik açığı 14 Şubat’ta düzeltildi.
Üzerinden: Kayıt
