Google Threat Intelligence Group (TAG) segnala che il 4 gennaio 2022 ha notato l’implementazione di un exploit kit in Chrome. Poi, il 10 febbraio, ha seguito l’attività di due gruppi sostenuti dalla Corea del Nord che stavano sfruttando lo stesso problema. Gli obiettivi erano principalmente notizie americane, IT, criptovalute e pubblicazioni fintech. Google ha corretto con successo la vulnerabilità il 14 febbraio. Dato che gli aggressori utilizzavano tutti lo stesso exploit kit, TAG ha ipotizzato che potrebbero utilizzare tutti la stessa catena di fornitura di malware ed è possibile che altri aggressori nordcoreani abbiano accesso a strumenti comuni. troppo.
Google afferma che i notiziari hanno ricevuto e-mail da hacker che si spacciano per reclutatori da Disney, Google e Oracle. Le e-mail contenevano collegamenti a siti falsi che erano duplicati di portali di reclutamento come ZipRecruiter e Indeed. Nel frattempo, alle società di fintech e di criptovaluta sono stati inviati collegamenti a siti Web infetti di proprietà di società fintech legittime. Qualsiasi persona che fa clic sul collegamento riceverà un iframe nascosto che attiverà un exploit.
In termini di cosa ha effettivamente fatto l’exploit, ecco un riassunto:
Il kit serve nativamente il javascript altamente offuscato utilizzato per le impronte digitali del sistema di destinazione. Questo script ha raccolto tutte le informazioni disponibili sul client come user agent, permessi, ecc. e poi le ha rispedite al server exploit. Se è stata soddisfatta una serie di requisiti sconosciuti, al client verrà fornito un exploit Chrome RCE e alcuni javascript aggiuntivi. Se l’RCE ha avuto successo, il javascript richiederà la fase successiva, specificata nello script come “SBX”, che è l’abbreviazione di Sandbox Escape. Sfortunatamente, non siamo stati in grado di recuperare nessuna delle pietre miliari che hanno seguito l’RCE originale.
Gli aggressori hanno anche utilizzato diversi metodi sofisticati per nascondere le loro attività. Ciò includeva l’apertura dell’iframe solo negli intervalli di tempo in cui si aspettava che il target visitasse il sito Web, URL univoci nei collegamenti per implementazioni di clic una tantum, crittografia basata su AES durante le fasi di sfruttamento e atomicità della pipeline di sfruttamento.
Sebbene Google abbia risolto la vulnerabilità dell’esecuzione di codice in remoto (RCE) in Chrome il 14 febbraio, spera che condividendo questi dettagli, possa incoraggiare gli utenti ad aggiornare i propri browser per ottenere gli ultimi aggiornamenti di sicurezza e abilitare la Navigazione sicura avanzata di Chrome. Gli indicatori condivisi di compromissione (IoC) possono anche aiutare altre aziende e il personale a proteggersi da attività simili. Tutti coloro che sono stati presi di mira dagli aggressori nordcoreani negli ultimi due mesi sono già stati informati.
Lascia un commento