הפגיעות של Chrome Zero-Day לא תוקנה למשך חודש

חוקרי אבטחה חשפו שני מסעות פרסום זדוניים נפרדים שניצלו פגיעות של יום אפס בדפדפן Chrome. החרקים נוצלו באופן פעיל בטבע במשך כחודש לפני הגעת התיקון.

שתי קבוצות, שתי פיגועים

קבוצת ניתוח האיומים של גוגל עצמה זיהתה את הפגיעות בתחילת פברואר וגוגל פרסמה עבורה תיקון רק ארבעה ימים לאחר מכן, יחד עם דוח הבאג. מעקב אחר הפגיעות בוצע תחת הסמל CVE-2022-0609 וכללה בעיה לאחר שימוש ברכיב הדפדפן האחראי לאנימציה. הפגיעות כבר נוצלה באופן פעיל בטבע.

חוקרים איתרו את הפעילות הזדונית הקשורה לבאג עם כמה שחקני איומים בשם Operation Dream Job ו Operation AppleJesus. על פי החשד, שני אלה הם גורמי איומים צפון קוריאנים. ההתקפות שביצעו ההאקרים התמקדו בעיקר בגופים אמריקאים ממספר מגזרים, החל מקריפטו וכלי תקשורת. עם זאת, החוקרים אינם שוללים את האפשרות שלתקיפות היו מטרות נוספות מחוץ לארה"ב.

אותה ערכת ניצול, שיטות שונות

למרות ששני שחקני האיום השתמשו בערכת ניצול אחת ויחידה בהתקפות שלהם, הם השתמשו בטכניקות שונות וכיוונו לגורמים שונים.

ההתקפות השתמשו באימיילים מזויפים של הצעות עבודה עם קישורים זדוניים, תוך זיוף של מעסיקים בעלי פרופיל גבוה ונחשק מאוד. ברגע שהקורבן ילחץ על הקישור הזדוני במאמץ לראות את הצעת העבודה המזויפת המלאה, הדפדפן יטען iframe בלתי נראה, אשר בתורו פורס את ערכת הניצול.

AppleJesus התמקדה ביעדים שונים, בעיקר בעבודה בקריפטו ובפיננסים. ערכת הניצול ששימשה את המתקפה הייתה זהה.

ה-iframes התארחו בדפים שהופעלו ובבעלותם של שחקני האיומים, או בדפים של אתרים שההאקרים התפשרו עליהם בעבר בהצלחה ויכלו לארח את האלמנטים הזדוניים שבהם.

הבעיה תוקנה, אבל זה עדיין משאיר את הבעיה בפרק זמן של מספר שבועות שגורמי האיום יכלו למנף את הפגיעות בקרב מערכות שמריצות את הגרסאות הלא מתוקנות של Chrome.