Chromen nollapäivän haavoittuvuus jää korjaamatta kuukauden ajaksi

Tietoturvatutkijat paljastivat kaksi erillistä haitallista kampanjaa, jotka hyödynsivät Chrome-selaimen nollapäivän haavoittuvuutta . Vikoja hyödynnettiin aktiivisesti luonnossa noin kuukauden ajan ennen korjaustiedoston saapumista.

Kaksi ryhmää, kaksi hyökkäystä

Googlen oma Threat Analysis Group havaitsi haavoittuvuuden jo helmikuun alussa, ja Google julkaisi siihen korjaustiedoston vain neljä päivää myöhemmin yhdessä virheraportin kanssa. Haavoittuvuutta jäljitettiin tunnuksella CVE-2022-0609, ja se sisälsi animaatioista vastaavan selainkomponentin käytön jälkeisen käytön -ongelman. Haavoittuvuutta hyödynnettiin jo aktiivisesti luonnossa.

Tutkijat jäljittivät bugiin liittyvän haitallisen toiminnan muutaman uhkatoimijan, Operation Dream Job ja Operation AppleJesus kanssa. Molempien uskotaan olevan pohjoiskorealaisia uhkatekijöitä. Hakkereiden tekemät hyökkäykset kohdistuivat ensisijaisesti yhdysvaltalaisiin yksiköihin useilta sektoreilta aina krypto- ja tiedotusvälineisiin. Tutkijat eivät kuitenkaan sulje pois mahdollisuutta, että hyökkäyksillä oli muita kohteita Yhdysvaltojen ulkopuolella.

Sama exploit kit, eri menetelmät

Vaikka molemmat uhkatekijät käyttivät hyökkäyksissään yhtä ja samaa hyväksikäyttöpakettia, he käyttivät erilaisia tekniikoita ja kohdistuivat eri tahoihin.

Hyökkäyksissä käytettiin väärennettyjä työtarjoussähköposteja, joissa oli haitallisia linkkejä, jotka huijasivat korkean profiilin ja erittäin haluttuja työnantajia. Kun uhri napsauttaa haitallista linkkiä yrittääkseen nähdä koko väärennetyn työtarjouksen, selain lataa näkymätön iframe-kehyksen, joka puolestaan ottaa käyttöön hyväksikäyttöpaketin.

AppleJesus keskittyi erilaisiin kohteisiin, pääasiassa krypto- ja rahoitusalalla. Hyökkäyksessä käytetty hyväksikäyttöpakkaus oli sama.

Iframe-kehykset isännöitiin sivuilla, jotka olivat joko uhkatekijöiden ylläpitämiä ja omistamia, tai verkkosivustojen sivuilla, joille hakkerit olivat aiemmin murtautuneet onnistuneesti ja jotka saattoivat isännöidä niillä olevia haitallisia elementtejä.

Ongelma on korjattu, mutta ongelma jää silti useiden viikkojen ajan, jolloin uhkatekijät olisivat saattaneet hyödyntää haavoittuvuutta järjestelmissä, joissa käytetään Chromen korjaamattomia versioita.