Licenties voor meerdere apparaten (volumekortingen)
Computer Security Chrome Zero-Day-kwetsbaarheid wordt een maand niet gepatcht

Chrome Zero-Day-kwetsbaarheid wordt een maand niet gepatcht

Tegen Mura in Computer Security
Vertalen naar:
Nederlands

Beveiligingsonderzoekers ontdekten twee afzonderlijke kwaadaardige campagnes die misbruik maakten van een zero-day-kwetsbaarheid in de Chrome-browser. De bugs werden ongeveer een maand actief in het wild uitgebuit voordat de patch arriveerde.

Twee groepen, twee aanvallen

Google's eigen Threat Analysis Group ontdekte de kwetsbaarheid begin februari en Google bracht er slechts vier dagen later een patch voor uit, samen met het bugrapport. De kwetsbaarheid werd opgespoord onder de aanduiding CVE-2022-0609 en omvatte een use-after-free-probleem met de browsercomponent die verantwoordelijk is voor animatie. In het wild werd al actief misbruik gemaakt van de kwetsbaarheid.

Onderzoekers hebben de kwaadaardige activiteit met betrekking tot de bug opgespoord met een paar dreigingsactoren genaamd Operation Dream Job en Operation AppleJesus. Beiden zijn vermoedelijk Noord-Koreaanse dreigingsactoren. De aanvallen van de hackers waren voornamelijk gericht op Amerikaanse entiteiten uit een aantal sectoren, variërend van crypto tot media. Onderzoekers sluiten echter niet uit dat de aanvallen extra doelen buiten de VS hadden.

Dezelfde exploitkit, verschillende methoden

Hoewel de twee dreigingsactoren één en dezelfde exploitkit gebruikten bij hun aanvallen, gebruikten ze verschillende technieken en richtten ze zich op verschillende entiteiten.

Bij de aanvallen werden valse e-mails met vacatures gebruikt met kwaadaardige links erin, waardoor spraakmakende, zeer gewilde werkgevers werden vervalst. Zodra het slachtoffer op de kwaadaardige link klikt in een poging om de volledige nep-jobaanbieding te zien, laadt de browser een onzichtbaar iframe, dat op zijn beurt de exploitkit inzet.

AppleJesus richtte zich op verschillende doelen, voornamelijk in crypto en financiën. De exploitkit die bij de aanval werd gebruikt, was hetzelfde.

De iframes werden gehost op pagina's die ofwel werden beheerd door en eigendom waren van de bedreigingsactoren, of op pagina's van websites die de hackers eerder met succes hadden gecompromitteerd en de schadelijke elementen daarop konden hosten.

Het probleem is gepatcht, maar dat laat het probleem nog steeds bestaan met de tijdspanne van enkele weken dat de bedreigingsactoren de kwetsbaarheid zouden hebben misbruikt tussen systemen waarop de niet-gepatchte versies van Chrome draaien.

Bezig met laden...