WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Hacker Triều Tiên khai thác lỗi 0-day trên Chrome, nhắm vào các hãng Fintech, IT và truyền thông
Nhóm phân tích mối đe dọa của Google (TAG) cho biết họ đang cố giảm thiểu các mối đe dọa từ 2 nhóm hacker có trụ sở tại Triều Tiên, nhóm này đã khai thác lỗ hổng thực thi mã từ xa được phát hiện gần đây trong trình duyệt web Chrome.
Các chiến dịch, một lần nữa “phản ánh mối quan tâm và ưu tiên chính trị", được cho là đã nhắm mục tiêu các tổ chức có trụ sở tại Hoa Kỳ trên các lĩnh vực tin tức, CNTT và các ngành công nghiệp Fintech,…
CVE-2022-0609, một lỗ hổng trong của trình duyệt mà Google đã giải quyết trong bản cập nhật (phiên bản 98.0.4758.102) được phát hành vào ngày 14 tháng 2 năm 2022.
“Bằng chứng về việc lỗ hổng này bị khai thác là vào ngày ngày 4 tháng 1 năm 2022", nhà nghiên cứu thẻ Google Adam Weidemann nói trong một báo cáo.
Chiến dịch đầu tiên được liên kết với công ty an ninh mạng ClearSky của Israel được mô tả là “công việc trong mơ” vào tháng 8 năm 2020, nhằm vào hơn 250 cá nhân làm việc cho 10 hãng truyền thông tin tức, công ty đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ web và nhà cung cấp phần mềm.
Chiến dịch tiếp theo được cho là lợi dụng lỗi chrome zero-day liên quan đến hoạt động của applejeus, đã xâm phạm ít nhất hai trang web của công ty Fintech để phục vụ khai thác đến trên 85 người dùng.
Bộ khai thác theo Google Tag, được tạo dạng như một chuỗi nhiều giai đoạn liên quan đến việc nhúng mã tấn công trong các khung ẩn trên cả hai trang web bị xâm nhập cũng như các trang web giả mạo dưới sự kiểm soát của hacker.
“Trong các trường hợp khác, chúng tôi đã quan sát các trang web giả mạo – đã được thiết lập để phân phối các ứng dụng tiền điện tử Trojanized – Hosting iFrames và chỉ cho khách truy cập của họ vào bộ khai thác", Weidemann nói.
Ngoài ra, các chiến dịch đã kiểm tra khách truy cập sử dụng các trình duyệt không dựa trên Chromium như Safari trên MacOS hoặc Mozilla Firefox (trên bất kỳ hệ điều hành nào), chuyển hướng các nạn nhân đến các liên kết cụ thể trên các máy chủ khai thác đã biết. Hiện việc khai thác này có hiệu quả hay không vẫn còn chưa rõ ràng.
Phát hiện được đưa ra khi công ty tình báo ối đe dọa Mandiant lập bản đồ các nhóm nhỏ khác nhau của Lazarus tới các tổ chức chính phủ khác nhau ở Triều Tiên, bao gồm Tổng cục Trinh sát, Cục Mặt trận Thống nhất (UFD) và Bộ An ninh Nhà nước (MSS).
Lazarus bao gồm các hoạt động gián điệp có nguồn gốc từ Vương quốc Hermit bị xử phạt nặng nề, theo cách tương tự Winnti và Muddywater hoạt động như một tập đoàn hỗ trợTrung Quốc và Iran.
Các chiến dịch, một lần nữa “phản ánh mối quan tâm và ưu tiên chính trị", được cho là đã nhắm mục tiêu các tổ chức có trụ sở tại Hoa Kỳ trên các lĩnh vực tin tức, CNTT và các ngành công nghiệp Fintech,…
“Bằng chứng về việc lỗ hổng này bị khai thác là vào ngày ngày 4 tháng 1 năm 2022", nhà nghiên cứu thẻ Google Adam Weidemann nói trong một báo cáo.
Chiến dịch đầu tiên được liên kết với công ty an ninh mạng ClearSky của Israel được mô tả là “công việc trong mơ” vào tháng 8 năm 2020, nhằm vào hơn 250 cá nhân làm việc cho 10 hãng truyền thông tin tức, công ty đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ web và nhà cung cấp phần mềm.
Chiến dịch tiếp theo được cho là lợi dụng lỗi chrome zero-day liên quan đến hoạt động của applejeus, đã xâm phạm ít nhất hai trang web của công ty Fintech để phục vụ khai thác đến trên 85 người dùng.
Bộ khai thác theo Google Tag, được tạo dạng như một chuỗi nhiều giai đoạn liên quan đến việc nhúng mã tấn công trong các khung ẩn trên cả hai trang web bị xâm nhập cũng như các trang web giả mạo dưới sự kiểm soát của hacker.
“Trong các trường hợp khác, chúng tôi đã quan sát các trang web giả mạo – đã được thiết lập để phân phối các ứng dụng tiền điện tử Trojanized – Hosting iFrames và chỉ cho khách truy cập của họ vào bộ khai thác", Weidemann nói.
Ngoài ra, các chiến dịch đã kiểm tra khách truy cập sử dụng các trình duyệt không dựa trên Chromium như Safari trên MacOS hoặc Mozilla Firefox (trên bất kỳ hệ điều hành nào), chuyển hướng các nạn nhân đến các liên kết cụ thể trên các máy chủ khai thác đã biết. Hiện việc khai thác này có hiệu quả hay không vẫn còn chưa rõ ràng.
Phát hiện được đưa ra khi công ty tình báo ối đe dọa Mandiant lập bản đồ các nhóm nhỏ khác nhau của Lazarus tới các tổ chức chính phủ khác nhau ở Triều Tiên, bao gồm Tổng cục Trinh sát, Cục Mặt trận Thống nhất (UFD) và Bộ An ninh Nhà nước (MSS).
Lazarus bao gồm các hoạt động gián điệp có nguồn gốc từ Vương quốc Hermit bị xử phạt nặng nề, theo cách tương tự Winnti và Muddywater hoạt động như một tập đoàn hỗ trợTrung Quốc và Iran.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: