Nhóm phân tích mối đe dọa của Google (TAG) vào thứ Năm tiết lộ rằng nó đã hoạt động để giảm thiểu các mối đe dọa từ hai nhóm kẻ tấn công được chính phủ khác biệt có trụ sở tại Triều Tiên đã khai thác một lỗ hổng thực thi mã từ xa được phát hiện gần đây trong trình duyệt web Chrome.
Các chiến dịch, một lần nữa “phản ánh mối quan tâm và ưu tiên ngay lập tức của chế độ,” được cho là đã nhắm mục tiêu các tổ chức có trụ sở tại Hoa Kỳ trải dài tin tức, CNTT, và các ngành công nghiệp Fintech, với một bộ các hoạt động chia sẻ cơ sở hạ tầng trực tiếp với các cuộc tấn công trước đó nhằm mục đích tại các nhà nghiên cứu an ninh năm ngoái.
Lỗ hổng trong câu hỏi là CVE-2022-0609, một lỗ hổng sử dụng sau khi sử dụng trong thành phần hoạt hình của trình duyệt mà Google giải quyết như một phần của các bản cập nhật (phiên bản 98.0.4758.102) được phát hành vào ngày 14 tháng 2 năm 2022. Đây cũng là ngày không ngày đầu tiên Lỗ hổng được vá bởi người khổng lồ công nghệ kể từ đầu năm 2022.
“bằng chứng sớm nhất mà chúng tôi có bộ khai thác này đang được triển khai tích cực là ngày 4 tháng 1 năm 2022,” Nhà nghiên cứu thẻ Google Adam Weidemann nói trong một báo cáo. “Chúng tôi nghi ngờ rằng các nhóm này hoạt động cho cùng một thực thể với chuỗi cung ứng được chia sẻ, do đó việc sử dụng cùng một bộ khai thác, nhưng mỗi hoạt động với một bộ nhiệm vụ khác và triển khai các kỹ thuật khác nhau.”
Chiến dịch đầu tiên, nhất quán với TTP được liên kết với công ty an ninh mạng ClearSky của Israel mô tả là “Công việc trong mơ” vào tháng 8 năm 2020, nhằm vào hơn 250 cá nhân làm việc cho 10 phương tiện truyền thông tin tức, công ty đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ web và nhà cung cấp phần mềm, thu hút Họ với cung cấp công việc giả mạo từ các công ty như Disney, Google và Oracle.
Việc sử dụng các danh sách công việc giả mạo là một chiến thuật được thử nghiệm thời gian của nhóm Lazarus, mà vào tháng 1 này, đã được tìm thấy mạo danh Công ty An ninh toàn cầu và Công ty Hàng không vũ trụ Martin để phân phối tải trọng phần mềm độc hại cho các cá nhân tìm kiếm việc làm trong ngành công nghiệp hàng không vũ trụ và quốc phòng .
“Kịch bản đôi của gián điệp và trộm cắp tiền là duy nhất ở Bắc Triều Tiên, hoạt động các đơn vị trí thông minh đánh cắp cả thông tin và tiền bạc cho đất nước của họ”, các nhà nghiên cứu Clearsky đã lưu ý vào thời điểm đó.
Cụm hoạt động thứ hai được cho là đã tận dụng cùng một chrome zero-day liên quan đến hoạt động của applejeus, đã xâm phạm ít nhất hai trang web của công ty Fintech hợp pháp để phục vụ khai thác đến không dưới 85 người dùng.
Bộ khai thác, theo Google Tag, được tạo dạng như một chuỗi nhiễm trùng nhiều giai đoạn liên quan đến việc nhúng mã tấn công trong các khung Internet ẩn trên cả hai trang web bị xâm nhập cũng như các trang web giả mạo dưới sự kiểm soát của họ.
“Trong các trường hợp khác, chúng tôi đã quan sát các trang web giả mạo – đã được thiết lập để phân phối các ứng dụng tiền điện tử Trojanized – Hosting iFrames và chỉ cho khách truy cập của họ vào bộ khai thác,” Weidemann nói.
Giai đoạn ban đầu bao gồm giai đoạn trinh sát để lấy dấu vân tay của các máy được nhắm mục tiêu, sau đó phục vụ khai thác thực thi mã từ xa (RCE), khi thành công, dẫn đến việc truy xuất gói giai đoạn hai được thiết kế để thoát khỏi hộp cát và thực hiện các hoạt động sau khai thác hơn nữa.
Google TAG, công ty đã phát hiện ra các chiến dịch vào ngày 10 tháng 2, lưu ý rằng nó “không thể khôi phục bất kỳ giai đoạn nào tuân theo RCE ban đầu”, nhấn mạnh rằng các tác nhân đe dọa đã sử dụng một số biện pháp bảo vệ, bao gồm cả việc sử dụng mã hóa AES, được thiết kế rõ ràng để che khuất các bản nhạc của họ và cản trở sự phục hồi của các giai đoạn trung gian.
Ngoài ra, các chiến dịch đã kiểm tra khách truy cập sử dụng các trình duyệt không dựa trên Chromium như Safari trên MacOS hoặc Mozilla Firefox (trên bất kỳ hệ điều hành nào), chuyển hướng các nạn nhân đến các liên kết cụ thể trên các máy chủ khai thác đã biết. Nó không rõ ràng ngay lập tức nếu bất kỳ nỗ lực nào trong số đó có hiệu quả.
Phát hiện được đưa ra khi công ty tình báo mối đe dọa Mandiant lập bản đồ các nhóm nhỏ khác nhau của Lazarus tới các tổ chức chính phủ khác nhau ở Triều Tiên, bao gồm Tổng cục Trinh sát, Cục Mặt trận Thống nhất (UFD) và Bộ An ninh Nhà nước (MSS).
Lazarus là Modiker ô bao gồm các hoạt động gián điệp có nguồn gốc từ Vương quốc Hermit bị xử phạt nặng nề, theo cách tương tự Winnti và Muddywater hoạt động như một tập đoàn của nhiều đội để giúp thêm các mục tiêu an toàn địa lý và quốc gia của Trung Quốc và Iran.
“Bộ máy trí thông minh của Triều Tiên sở hữu sự linh hoạt và khả năng phục hồi để tạo các đơn vị mạng dựa trên nhu cầu của đất nước,” các nhà nghiên cứu ủy quyền cho biết. “Ngoài ra, sự chồng chéo trong cơ sở hạ tầng, phần mềm độc hại và chiến thuật, kỹ thuật và thủ tục cho thấy có các nguồn lực được chia sẻ trong số các hoạt động trên mạng.”
.
