谷歌揭露兩個朝鮮黑客組織的網路攻擊活動

Editor發表於2022-03-29

谷歌揭露兩個朝鮮黑客組織的網路攻擊活動

編輯:左右裡


谷歌威脅分析團隊(TAG)近日釋出了一份研究報告,稱前不久發現了兩個有國家背景的朝鮮黑客組織,他們在谷歌修復漏洞的前幾周利用Chrome中的遠端程式碼執行漏洞CVE-2022-0609實施了網路攻擊。


這兩個黑客組織的活動分別被稱為Operation Dream Job和Operation AppleJeus。這兩個組織表面上是分開的,但他們在攻擊活動中使用了相同的漏洞利用工具包,這表明他們可能為具有共享供應鏈的同一實體工作,並且不排除其他朝鮮黑客組織也可以訪問相同的漏洞利用工具包的可能。



Operation Dream Job

針對新聞媒體和 IT 公司的黑客活動


該活動針對10家不同的新聞媒體、域名註冊商、網路託管服務提供商和軟體供應商中的250多名員工。攻擊者會向攻擊目標傳送電子郵件,聲稱自己是來自迪士尼、谷歌和甲骨文的招聘人員,並承諾虛假的工作機會以引誘攻擊目標上當。這些電子郵件中包含欺騙性的合法求職網站連結,如Indeed和ZipRecruiter。


點選連結的受害者將獲取一個隱藏的iframe,該iframe將觸發漏洞利用工具包。


谷歌揭露兩個朝鮮黑客組織的網路攻擊活動



Operation AppleJeus

針對加密貨幣和金融科技組織的活動


另一個朝鮮黑客組織的活動則是針對加密貨幣和金融科技行業的85多名使用者,利用的是相同的漏洞利用工具包。攻擊手段之一是通過至少兩個合法的金融科技公司網站託管隱藏的iframe,以便將訪問者指向漏洞利用工具包。還有則是通過虛假網站(已設定為分發木馬化的加密貨幣應用程式)託管iframe並將其訪問者指向漏洞利用工具包。


谷歌揭露兩個朝鮮黑客組織的網路攻擊活動



漏洞利用工具包概述


攻擊者將包含多個階段和元件的漏洞利用工具包的連結放置在隱藏的iframe中,這些iframe嵌入在攻擊者所擁有的兩個網站以及他們入侵的一些網站上。


該工具包最初提供一些用於對目標系統進行指紋識別的經嚴重混淆的javascript,此指令碼會收集所有可用的客戶端資訊(如使用者代理、解析等),然後將其傳送回開發伺服器。若滿足一組未知要求,則將為客戶端提供Chrome RCE漏洞利用和一些額外的javascript。一旦RCE 成功,javascript 將請求引用自指令碼"SBX"(沙箱繞過的常用首字母縮略詞)的下一階段。


攻擊者為其漏洞利用部署了多種保護措施,使安全團隊難以恢復最初RCE之後的任何階段。這些保護措施包括:

僅在特定時間提供iframe,很可能是當他們知道預期的目標將訪問該網站時。

在某些電子郵件中,目標會收到具有唯一 ID 的連結。這可能用於對每個連結強制實施一次性點選策略,並且僅提供一次漏洞利用工具包。

漏洞利用工具包將AES(高階加密標準)加密每個階段,包括使用特定會話金鑰的客戶端響應。

一旦某一階段失敗,就不會提供漏洞利用的後續階段。



資訊來源:Google Threat Analysis Group (TAG)

轉載請註明出處和本文連結



每日漲知識

中間人攻擊

一種“間接”的入侵攻擊,這種攻擊模式是通過各種技術手段將入侵者控制的一臺計算機虛擬放置在網路連線中的兩臺通訊計算機之間,攔截正常的網路通訊資料,並進行資料篡改和嗅探,這臺計算機就稱為“中間人”。

谷歌揭露兩個朝鮮黑客組織的網路攻擊活動


推薦文章++++

美國將卡巴斯基、中國電信、中國移動列入國家安全威脅名單

年僅16歲,攻擊微軟、三星、英偉達的幕後主使浮出水面

匿名者洩露雀巢10GB敏感資料,作為其仍在俄羅斯運營的懲罰

惠普釋出產品安全公告,通告多個高危漏洞

黑客組織聲稱成功入侵微軟,盜走Bing和Cortana原始碼

Telegram在巴西被封禁,只因電子郵件問題未收到法院傳票?

微軟提醒IE瀏覽器將於今年6月15日停用







谷歌揭露兩個朝鮮黑客組織的網路攻擊活動



相關文章