Luka w zabezpieczeniach Chrome zero-day pozostaje niezałatana przez miesiąc

Badacze bezpieczeństwa odkryli dwie oddzielne złośliwe kampanie, które wykorzystywały lukę zero-day w przeglądarce Chrome. Błędy były aktywnie wykorzystywane na wolności przez około miesiąc przed pojawieniem się łatki.

Dwie grupy, dwa ataki

Własna Grupa Analizy Zagrożeń Google wykryła tę lukę na początku lutego, a Google opublikowało łatkę dla niej zaledwie cztery dni później, wraz z raportem o błędzie. Luka była śledzona pod oznaczeniem CVE-2022-0609 i obejmowała problem z komponentem przeglądarki odpowiedzialnym za animację. Luka została już aktywnie wykorzystana na wolności.

Badacze wyśledzili szkodliwą aktywność związaną z błędem za pomocą kilku cyberprzestępców o nazwach Operation Dream Job i Operation AppleJesus. Uważa się, że obaj są północnokoreańskimi aktorami zagrożenia. Ataki przeprowadzane przez hakerów koncentrowały się przede wszystkim na podmiotach amerykańskich z wielu sektorów, od kryptowalut po media. Jednak naukowcy nie wykluczają możliwości, że ataki miały dodatkowe cele poza Stanami Zjednoczonymi.

Ten sam zestaw exploitów, różne metody

Mimo że ci dwaj cyberprzestępcy wykorzystywali w swoich atakach ten sam zestaw exploitów, stosowali różne techniki i atakowali różne podmioty.

Ataki wykorzystywały fałszywe wiadomości e-mail z ofertami pracy, które zawierały złośliwe linki, podszywając się pod głośnych, wysoce pożądanych pracodawców. Gdy ofiara kliknie złośliwy link, aby zobaczyć pełną fałszywą ofertę pracy, przeglądarka ładuje niewidoczny element iframe, który z kolei wdraża zestaw exploitów.

AppleJesus koncentrował się na różnych celach, głównie pracując w kryptowalutach i finansach. Zestaw exploitów użyty w ataku był taki sam.

Ramki iframe były hostowane na stronach obsługiwanych i będących własnością cyberprzestępców lub na stronach witryn internetowych, które hakerzy wcześniej zdołali zhakować i które mogły zawierać na nich złośliwe elementy.

Problem został załatany, ale nadal pozostaje problem z rozpiętością kilku tygodni, w której cyberprzestępcy mogli wykorzystać lukę w zabezpieczeniach systemów z niezałatanymi wersjami Chrome.