朝鲜黑客组织在补丁发布前一周利用Chrome 0day漏洞进行攻击。

谷歌研究人员发现，两个朝鲜黑客组织使用Chrome浏览器中的远程代码，在一个多月的时间里执行了0天漏洞，该漏洞被用来攻击新闻媒体、IT公司、加密货币和金融科技机构。

CVE-2022-0609漏洞是Chrome浏览器中的远程代码执行漏洞。

2月10日，谷歌威胁分析小组(TAG)的研究人员发现，两个有朝鲜政府背景的黑客组织利用该漏洞进行攻击。

黑客的攻击活动包括梦想作业行动和AppleJeus行动。

研究人员发现，漏洞利用组件是在1月4日部署的，而补丁是在2月14日发布的，这表明黑客利用漏洞攻击了一个多月。

针对新闻媒体和IT公司的攻击。

梦想工作行动攻击了来自10个不同新闻媒体行业、域名注册商、网络服务提供商和软件供应商的250人。

目标将有信誉的黑客收到来自迪士尼、谷歌和甲骨文的虚假招聘信息电子邮件。

这封电子邮件包含指向欺骗性合法招聘网站的链接。

欺骗性招聘网站的例子。

受害者单击电子邮件中的链接后，将触发网络黑客高手隐藏的IFRAME以启动利用漏洞套件。

攻击者控制的招聘网站的伪造域名为：

迪斯尼职业[.。

]。

网络。

寻找梦想的工作[。

]。

COM。

Indeedus[.。

]。

奥格。

各种工作[.。

]。

COM。

Zipreruiters[.。

]。

奥格。

攻击URL包括：

HTTPS[：]//colasiprint[.]。

Com/About/about.asp(此网站是已被黑客攻击的合法网站)。

HTTPS[：]//arietyjob[.。

]。

Com/sitemap/sitemap.asp。

针对加密货币和金融科技公司的攻击。

操作AppleJeus使用相同的利用套件攻击了加密货币和金融科技行业的85名用户，并成功入侵了至少两家金融科技公司网站并植入了隐藏的IFRAME。

研究人员还发现，攻击者建立了一些虚假网站来传播特洛伊木马加密货币应用程序，隐藏IFRAME，并指向访问者利用套件。

攻击者控制的网站包括：

区块链新闻[。

]。

贵宾。

连锁新闻明星[.。

]。

COM。

财务时报365[.。

]。

COM。

阻燃剂[.。

]。

贵宾。

关口即将到期[。

]。

COM。

Gbclabs[.。

]。

COM。

巨型块[.。

]。

奥格。

Humingbot[.。

]。

木卫一。

只有新星[.。

]。

奥格。

十几岁的孩子。

]。

COM。

被黑客组织成功入侵的网站包括(2月7日-2月9日)：

Www.Options-It[.。

]。

COM。

Www.tradingTechnologies[.。

]。

COM。

正在利用的URL包括：

HTTPS[：]/Financial altimes365[。

]。

Com/user/finance.asp。

HTTPS[：]//gatexpings[。

]。

Com/gate/index.asp。

HTTPS[：]/humingbot[.。

]。

IO/CDN/js.asp。

HTTPS[：]/teenbeanjs[.。

]。

Com/cloud/javascript.asp。

开发套件。

在攻击活动中，攻击者使用了一个多阶段、多组件的攻击套件来攻击用户。

攻击者使用隐藏的IFRAME指向嵌入在攻击者攻击的网站和攻击者入侵的网站中的利用漏洞套件的链接。

攻击套件使用严重混淆的JS来指纹目标系统。

JS脚本还收集客户端信息，如用户代理和解析，并将其发送到利用漏洞的服务器。

在满足特定条件后，客户端将以Chrome远程代码的形式利用该漏洞。

如果远程代码执行成功，JS将请求沙箱转义脚本SBX中引用的下一个阶段。

然而，研究人员未能成功恢复初始远程代码执行的任何阶段。

此外，攻击者部署了各种措施，使安全研究人员难以从任何阶段恢复，包括：

仅作为iframe；在特定时间；

在一些电子邮件攻击中，目标收到的链接都带有唯一的ID；

利用漏洞套件使用AES加密来解密每个阶段，包括客户端响应消息。

如果前一阶段失败，则后续阶段将不会继续。

在2月14日补丁发布后，研究人员还发现了许多试图利用该漏洞的攻击。

因此，研究人员建议用户尽快安装该补丁。

请参阅https://blog.google/threat-analysis-group/counter-threats-north-Korea/