Google’ın Tehdit Analizi Grubu (TAG) Perşembe günü, Chrome web tarayıcısında yakın zamanda keşfedilen bir uzaktan kod yürütme kusurundan yararlanan Kuzey Kore merkezli iki farklı hükümet destekli saldırgan grubundan gelen tehditleri azaltmak için hareket ettiğini açıkladı.
Bir kez daha “rejimin acil endişelerini ve önceliklerini yansıtan” kampanyaların, haber medyası, BT, kripto para birimi ve fintech endüstrilerini kapsayan ABD merkezli kuruluşları hedef aldığı ve bir dizi faaliyetin doğrudan altyapıyı paylaşan önceki saldırılarla örtüşen faaliyetlerle hedeflendiği söyleniyor. geçen yıl güvenlik araştırmacılarında.
Söz konusu eksiklik, Google’ın 14 Şubat 2022’de yayınlanan güncellemelerin (sürüm 98.0.4758.102) bir parçası olarak ele aldığı, tarayıcının Animasyon bileşenindeki ücretsiz kullanım sonrası güvenlik açığı olan CVE-2022-0609’dur. Bu aynı zamanda ilk sıfırıncı gün. 2022’nin başından beri teknoloji devi tarafından yamalanan kusur.
Google TAG araştırmacısı Adam Weidemann, “Bu istismar kitinin aktif olarak dağıtıldığına dair elimizdeki en eski kanıt 4 Ocak 2022’dir.” dedim bir raporda. “Bu grupların ortak bir tedarik zinciriyle aynı varlık için çalıştığından, dolayısıyla aynı istismar kitinin kullanıldığından şüpheleniyoruz, ancak her biri farklı bir görev seti ile çalışıyor ve farklı teknikler kullanıyor.”
İsrailli siber güvenlik firması ClearSky’nin “Operasyon Rüya İşi” Ağustos 2020’de 10 farklı haber medyası, alan adı kayıt kuruluşu, web barındırma sağlayıcıları ve yazılım satıcıları için çalışan 250’den fazla kişiye yöneltildi ve onları Disney, Google ve Oracle gibi şirketlerden sahte iş teklifleriyle cezbetti.
Sahte iş listelerinin kullanımı, Lazarus grubunun bu Ocak ayının başlarında, havacılık ve savunma endüstrisinde iş arayan bireyleri hedeflemek için kötü amaçlı yazılım yüklerini dağıtmak için Amerikan küresel güvenlik ve havacılık şirketi Lockheed Martin’i taklit ettiği tespit edilen, zamanla test edilmiş bir taktiktir. .
ClearSky araştırmacıları o sırada, “Casusluk ve para hırsızlığının ikili senaryosu, ülkeleri için hem bilgi hem de para çalan istihbarat birimleri işleten Kuzey Kore’ye özgüdür” dedi.
Aynı Chrome sıfır gününden yararlandığına inanılan ikinci etkinlik kümesi, istismarı en az 85 kullanıcıya sunmak için en az iki meşru fintech şirketi web sitesini tehlikeye atan AppleJeus Operasyonu ile ilgilidir.
bu istismar kitiGoogle TAG’ye göre, saldırı kodunu hem güvenliği ihlal edilmiş web sitelerinde hem de kontrolleri altındaki sahtekar web sitelerinde gizli internet çerçevelerine yerleştirmeyi içeren çok aşamalı bir enfeksiyon zinciri olarak tasarlanmıştır.
“Diğer durumlarda, zaten truva atlanmış kripto para birimi uygulamalarını dağıtmak için kurulmuş olan sahte web sitelerini gözlemledik. iframe’ler ve ziyaretçilerini istismar kitine işaret ediyor,” dedi Weidemann.
İlk aşama, hedeflenen makinelerin parmak izinin alınması için bir keşif aşamasını kapsıyordu, ardından uzaktan kod yürütme (RCE) istismarına hizmet edildi ve bu, başarılı olduğunda, sanal alandan kaçmak ve yürütmek için tasarlanmış ikinci aşama bir paketin alınmasına yol açtı. diğer sömürü sonrası faaliyetler.
Kampanyaları 10 Şubat’ta keşfeden Google TAG, “ilk RCE’yi takip eden aşamaların hiçbirini kurtaramadığını” belirterek, tehdit aktörlerinin AES şifrelemesi de dahil olmak üzere açıkça tasarlanmış çeşitli güvenlik önlemlerini kullandığını vurguladı. izlerini gizlemek ve ara aşamaların iyileşmesini engellemek.
Ek olarak, kampanyalar, macOS’ta Safari veya Mozilla Firefox (herhangi bir işletim sisteminde) gibi Chromium tabanlı olmayan tarayıcıları kullanan ziyaretçileri kontrol ederek, kurbanları bilinen istismar sunucularındaki belirli bağlantılara yönlendirdi. Bu girişimlerden herhangi birinin verimli olup olmadığı hemen belli değil.
Bulgular tehdit istihbarat şirketi Mandiant olarak geliyor haritalanmış Genel Keşif Bürosu (RGB), Birleşik Cephe Departmanı (UFD) ve Devlet Güvenlik Bakanlığı (MSS) dahil olmak üzere Kuzey Kore’deki çeşitli hükümet kuruluşlarına farklı Lazarus alt grupları.
Lazarus, aynı şekilde, ağır yaptırımlara tabi tutulan keşiş krallığından kaynaklanan kötü niyetli siber ve finansal suç operasyonlarına topluca atıfta bulunan şemsiye takma addır. Winnti ve MuddyWater, Çin ve İran’ın jeopolitik ve ulusal güvenlik hedeflerini ilerletmeye yardımcı olmak için birden fazla ekipten oluşan bir holding olarak işlev görüyor.
Mandiant araştırmacıları, “Kuzey Kore’nin istihbarat aygıtı, ülkenin ihtiyaçlarına göre siber birimler oluşturacak esnekliğe ve dayanıklılığa sahip” dedi. “Ayrıca altyapı, kötü amaçlı yazılım ve taktikler, teknikler ve prosedürlerdeki çakışmalar, siber operasyonları arasında paylaşılan kaynaklar olduğunu gösteriyor.”
