استمرار ضعف يوم Zero-Day في Chrome دون إصلاح لمدة شهر

كشف باحثو الأمن عن حملتين خبيثتين منفصلتين كانتا تستغلان ثغرة يوم الصفر في متصفح Chrome. تم استغلال الحشرات بنشاط في البرية لمدة شهر تقريبًا قبل وصول التصحيح.

مجموعتان ، هجومان

اكتشفت مجموعة تحليل التهديدات التابعة لـ Google الثغرة الأمنية في أوائل فبراير وأصدرت Google تصحيحًا لها بعد أربعة أيام فقط ، جنبًا إلى جنب مع تقرير الخطأ. تم تعقب الثغرة الأمنية في إطار المصمم CVE-2022-0609 وتضمنت مشكلة الاستخدام اللاحق مع مكون المتصفح المسؤول عن الرسوم المتحركة. تم بالفعل استغلال الثغرة الأمنية بنشاط في البرية.

قام الباحثون بتتبع النشاط الضار المرتبط بالخلل مع اثنين من الجهات الفاعلة المهددة المسماة Operation Dream Job و Operation AppleJesus. يُعتقد أن كلاهما من الجهات الفاعلة في تهديد كوريا الشمالية. ركزت الهجمات التي نفذها المتسللون بشكل أساسي على الكيانات الأمريكية من عدد من القطاعات ، بدءًا من التشفير إلى وسائل الإعلام. ومع ذلك ، لا يستبعد الباحثون احتمال أن تكون للهجمات أهدافًا إضافية خارج الولايات المتحدة.

مجموعة أدوات الاستغلال نفسها ، طرق مختلفة

على الرغم من استخدام الفاعلين للتهديد نفس مجموعة أدوات الاستغلال في هجماتهم ، فقد استخدموا تقنيات مختلفة واستهدفوا كيانات مختلفة.

استخدمت الهجمات رسائل بريد إلكتروني مزيفة لعروض العمل تحتوي على روابط خبيثة فيها ، مما أدى إلى انتحال أصحاب العمل المرموقين والمطلوبين للغاية. بمجرد أن تنقر الضحية على الرابط الخبيث في محاولة لرؤية عرض العمل المزيف الكامل ، يقوم المتصفح بتحميل إطار iframe غير مرئي ، والذي بدوره ينشر مجموعة أدوات الاستغلال.

ركز AppleJesus على أهداف مختلفة ، وعمل بشكل أساسي في مجال التشفير والتمويل. كانت مجموعة الثغرات المستخدمة في الهجوم هي نفسها.

تمت استضافة إطارات iframe على الصفحات التي تم تشغيلها وتملكها من قبل الجهات المهددة ، أو على صفحات مواقع الويب التي قام المتسللون باختراقها سابقًا بنجاح ويمكنهم استضافة العناصر الضارة عليها.

لقد تم تصحيح المشكلة ، ولكن هذا لا يزال يترك المشكلة على مدى عدة أسابيع حيث كان بإمكان الجهات المهددة الاستفادة من الثغرة الأمنية بين الأنظمة التي تشغل الإصدارات غير المصححة من Chrome.