谷歌威胁分析团队(TAG)指出,在谷歌Chrome RCE 0day(CVE-2022-0609)修复前几周,两个朝鲜黑客组织利用IT攻击新闻媒体、IT公司、秘密硬币和金融科技组织。
早在1月初,它就被积极使用,24小时在线黑客追款团队!
Google Tag团队在2月10日发现了这些攻击,并在四天后紧急发布了修复漏洞的补丁。
不过,研究人员指出,该漏洞早在2022年1月4日就被利用了。
在分析中,研究人员发现,其中一个攻击组织使用的基础设施与去年发现的朝鲜国家黑客组织使用的基础设施有直接重叠(使用虚假的Twitter和LinkedIn账户攻击安全研究人员)。
实施和利用被征集的合法网站。
其中一个朝鲜黑客组织特别攻击了“为10家不同的新闻媒体、域名注册商、虚拟主机提供商和软件供应商工作的250人”。
这一活动与ClearSky研究人员在2020年8月详细阐述的《梦想任务行动》是一致的。
袭击者通过波音、McDonnell Douglas和BAE等美国国防和航天公司提供的虚假工作机会引诱受害者。
在这项活动中,研究人员发现,攻击者通过迪士尼、谷歌和甲骨文上的虚假招聘机会向受害者发布了钓鱼邮件。
“这些电子邮件包含欺骗合法招聘网站的链接,比如Indeed和ZipRecruiter。”
点击这些链接将使受害者收到一个隐藏的嵌入式框架,该框架会触发该工具包的使用。
为了实施这次攻击,黑客注册了一些域名,如disneyCareers[.]net和Findstream job[.]。
Com,还捕获了至少一个合法网站。
使用链条保护。
研究人员在分析攻击时发现,攻击者集成了多个保护功能,这使得用户更难恢复多个攻击阶段来捕获这些目标。
例如,带有使用工具包链接的嵌入式框架在特定时间启动,一些目标收到唯一ID(只发布一次利用漏洞),使用工具包的每个阶段都是加密的,过渡到第二阶段取决于前一阶段的成功。
研究人员发现,朝鲜黑客组织不仅对Chrome用户感兴趣,还会检查MacOS和Firefox上的Safari用户,并将他们引导到“已知使用服务器上的特定链接”。
但是,在当前分析阶段,观察到的URL没有返回任何响应。
696 篇文章