„Chrome“ nulinės dienos pažeidžiamumas bus pašalintas mėnesį
Saugumo tyrinėtojai atskleidė dvi atskiras kenkėjiškas kampanijas, kurios išnaudojo „Chrome“ naršyklės nulinės dienos pažeidžiamumą . Klaidos buvo aktyviai naudojamos laukinėje gamtoje maždaug mėnesį, kol atsirado pleistras.
Dvi grupės, dvi atakos
Pačios „Google“ grėsmių analizės grupė pažeidžiamumą pastebėjo dar vasario pradžioje, o tik po keturių dienų „Google“ išleido jo pataisą kartu su pranešimu apie klaidą. Pažeidžiamumas buvo stebimas naudojant žymenį CVE-2022-0609 ir apėmė nenaudojimo po nemokamo naršyklės komponento, atsakingo už animaciją, problemą. Pažeidžiamumas jau buvo aktyviai išnaudojamas laukinėje gamtoje.
Tyrėjai susekė su klaida susijusią kenkėjišką veiklą su keliais grėsmės veikėjais, pavadintais „Operation Dream Job“ ir „Operation AppleJesus“. Manoma, kad abu jie yra Šiaurės Korėjos grėsmės veikėjai. Įsilaužėlių įvykdytos atakos daugiausia buvo nukreiptos į JAV subjektus iš daugelio sektorių, nuo kriptovaliutų iki žiniasklaidos priemonių. Tačiau mokslininkai neatmeta galimybės, kad atakos turėjo papildomų taikinių už JAV ribų.
Tas pats išnaudojimo rinkinys, skirtingi metodai
Nors du grėsmės veikėjai savo atakose naudojo vieną ir tą patį išnaudojimo rinkinį, jie naudojo skirtingus metodus ir taikėsi į skirtingus subjektus.
Atakose buvo naudojami netikri darbo pasiūlymų el. laiškai su kenkėjiškomis nuorodomis, klaidinant aukšto lygio, labai geidžiamus darbdavius. Kai auka spustelėja kenkėjišką nuorodą, kad pamatytų visą netikrą darbo pasiūlymą, naršyklė įkels nematomą „iframe“, o tai savo ruožtu įdiegia išnaudojimo rinkinį.
AppleJesus daugiausia dėmesio skyrė skirtingiems tikslams, visų pirma dirbdama kriptovaliutų ir finansų srityse. Atakoje naudotas išnaudojimo rinkinys buvo tas pats.
„Iframe“ buvo priglobti puslapiuose, kurie buvo valdomi ir priklausė grėsmės veikėjams, arba svetainių puslapiuose, kuriuos įsilaužėliai anksčiau sėkmingai pažeidė ir galėjo juose talpinti kenkėjiškus elementus.
Problema buvo pataisyta, tačiau problema vis tiek išlieka per kelias savaites, per kurias grėsmės veikėjai galėjo panaudoti sistemų, kuriose veikia nepataisytos „Chrome“ versijos, pažeidžiamumą.