サイバーセキュリティは、悪意のある攻撃者からの脅威の進化と、これらの問題に対処するために組織が導入した防御策のために、ほとんどの場合ニュースになっています。Googleは本日、国が後援する北朝鮮のハッカーがChromeの脆弱性(現在はパッチが適用されている)を悪用しようとしているという警告を発しました。
Google Threat Intelligence Group(TAG)は、2022年1月4日に、Chromeにエクスプロイトキットが導入されていることに気付いたと報告しています。その後、2月10日、彼は同じ問題を悪用している2つの北朝鮮支援グループの活動を追跡しました。ターゲットは主にアメリカのニュース、IT、暗号通貨、フィンテックの出版物でした。Googleは2月14日に脆弱性にパッチを適用することに成功しました。攻撃者全員が同じエクスプロイトキットを使用しているという事実を考えると、TAGは、攻撃者全員が同じマルウェアサプライチェーンを使用している可能性があり、他の北朝鮮の攻撃者が共通のツールにアクセスできる可能性があると推測しました。過度に。
グーグルによれば、報道機関はディズニー、グーグル、オラクルのリクルーターを装ったハッカーからメールを受け取ったという。電子メールには、ZipRecruiterやIndeedなどの求人ポータルの複製である偽のサイトへのリンクが含まれていました。一方、フィンテックおよび暗号通貨会社には、合法的なフィンテック会社が所有する感染したWebサイトへのリンクが送信されました。リンクをクリックすると、エクスプロイトをトリガーする非表示のiframeが表示されます。
エクスプロイトが実際に行ったことに関して、要約は次のとおりです。
このキットは、ターゲットシステムのフィンガープリントに使用される高度に難読化されたJavaScriptをネイティブに提供します。このスクリプトは、ユーザーエージェント、権限など、クライアントに関する利用可能なすべての情報を収集し、それをエクスプロイトサーバーに送り返しました。一連の不明な要件が満たされている場合、クライアントにはChromeRCEエクスプロイトといくつかの追加のJavaScriptが提供されます。RCEが成功した場合、javascriptは、スクリプトで「SBX」として指定された次のステージを要求します。これは、SandboxEscapeの略です。残念ながら、元のRCEに続くマイルストーンを回復することはできませんでした。
攻撃者はまた、彼らの活動を隠すためにいくつかの洗練された方法を使用しました。これには、ターゲットがWebサイトにアクセスすると予想されるタイムスロットでのみiframeを開くこと、ワンタイムクリック実装のリンク内の一意のURL、悪用フェーズ中のAESベースの暗号化、および悪用パイプラインのアトミック性が含まれます。
Googleは2月14日にChromeのリモートコード実行(RCE)の脆弱性を修正しましたが、これらの詳細を共有することで、ユーザーがブラウザを更新して最新のセキュリティアップデートを取得し、Chromeの拡張セーフブラウジングを有効にするように促すことができると期待しています。共有の侵入の痕跡(IoC)は、他の企業や担当者が同様の活動から身を守るのにも役立ちます。過去数ヶ月の間に北朝鮮の攻撃者の標的にされたすべての人はすでに知らされています。
コメントを残す