A Chrome nulladik napi sebezhetőségét egy hónapig nem javítják ki

A biztonsági kutatók két különálló rosszindulatú kampányt fedeztek fel, amelyek a Chrome böngésző nulladik napi sebezhetőségét használták ki. A hibákat körülbelül egy hónapig aktívan kihasználták a vadonban, mielőtt a javítás megérkezett.

Két csoport, két támadás

A Google saját Fenyegetéselemző Csoportja még február elején észlelte a sebezhetőséget, és a Google mindössze négy nappal később kiadott egy javítást a hibajelentéssel együtt. A sérülékenységet a CVE-2022-0609 jelöléssel követték nyomon, és az animációért felelős böngészőkomponenssel kapcsolatos, használat utáni mentességet okozó problémát tartalmazott. A sebezhetőséget már a vadonban is aktívan kihasználták.

A kutatók felderítették a hibával kapcsolatos rosszindulatú tevékenységet néhány, az Álommunka és az AppleJesus hadművelet nevű fenyegető szereplővel. Feltételezik, hogy mindketten észak-koreai fenyegetések. A hackerek által végrehajtott támadások elsősorban az egyesült államokbeli szervezetek ellen irányultak számos szektorban, a kriptográfiai eszközöktől a médiákig. A kutatók azonban nem zárják ki annak lehetőségét, hogy a támadásoknak további célpontjai is voltak az Egyesült Államokon kívül.

Ugyanaz az exploit kit, különböző módszerek

Annak ellenére, hogy a két fenyegetés szereplője ugyanazt a kizsákmányoló készletet használta támadásai során, különböző technikákat alkalmaztak, és különböző entitásokat céloztak meg.

A támadások hamis állásajánlatokat tartalmazó e-maileket használtak rosszindulatú hivatkozásokkal, meghamisítva ezzel a nagy horderejű, rendkívül kívánatos munkaadókat. Ha az áldozat rákattint a rosszindulatú hivatkozásra, hogy meglássa a teljes hamis állásajánlatot, a böngésző betölt egy láthatatlan iframe-et, amely viszont telepíti a kihasználó készletet.

Az AppleJesus különböző célokra összpontosított, elsősorban a kriptográfia és a pénzügyek területén. A támadás során használt exploit kit ugyanaz volt.

Az iframe-eket olyan oldalakon tárolták, amelyeket vagy a fenyegetés szereplői üzemeltettek és birtokoltak, vagy olyan webhelyek oldalain, amelyeket a hackerek korábban sikeresen feltörtek, és amelyeken a rosszindulatú elemeket tárolhatták.

A problémát kijavították, de ez még mindig több hétig tart, amíg a fenyegetés szereplői kihasználhatták a Chrome javítatlan verzióit futtató rendszerek sebezhetőségét.