Chyba zabezpečení Chrome Zero-Day bude měsíc bez oprav

Bezpečnostní výzkumníci odhalili dvě samostatné škodlivé kampaně, které zneužívaly zero-day zranitelnost v prohlížeči Chrome. Chyby byly aktivně využívány ve volné přírodě asi měsíc před příchodem opravy.

Dvě skupiny, dva útoky

Vlastní skupina pro analýzu hrozeb společnosti Google si zranitelnost všimla již na začátku února a Google pro ni vydal opravu jen o čtyři dny později spolu se zprávou o chybě. Chyba zabezpečení byla sledována pod označením CVE-2022-0609 a zahrnovala problém s komponentou prohlížeče odpovědnou za animaci bez použití po použití. Tato zranitelnost byla již aktivně využívána ve volné přírodě.

Výzkumníci vystopovali škodlivou aktivitu související s chybou s několika aktéry hrozeb s názvem Operation Dream Job a Operation AppleJesus. Oba jsou považováni za aktéry severokorejské hrozby. Útoky provedené hackery byly zaměřeny především na americké subjekty z řady sektorů, od kryptoměn po média. Vědci však nevylučují možnost, že útoky měly další cíle mimo USA.

Stejný exploit kit, různé metody

Přestože oba aktéři hrozeb používali při svých útocích jeden a tentýž exploit kit, používali různé techniky a zaměřovali se na různé entity.

Útoky využívaly falešné e-maily s nabídkou práce se škodlivými odkazy, které podvrhly vysoce známé a velmi žádané zaměstnavatele. Jakmile oběť klikne na škodlivý odkaz ve snaze zobrazit celou falešnou nabídku práce, prohlížeč načte neviditelný prvek iframe, který zase nasadí exploit kit.

AppleJesus se zaměřil na různé cíle, především na práci v kryptoměnách a financích. Vykořisťovací sada použitá při útoku byla stejná.

Prvky iframe byly hostovány na stránkách, které byly buď provozovány a vlastněny aktéry hrozeb, nebo na stránkách webových stránek, které hackeři dříve úspěšně kompromitovali a mohli na nich hostit škodlivé prvky.

Problém byl opraven, ale stále zůstává problém s rozpětím několika týdnů, kdy aktéři hrozeb mohli využít zranitelnost mezi systémy, na kterých běží neopravené verze Chrome.