朝鲜黑客利用Chrome Zero Day攻击金融科技、IT和媒体公司

谷歌的威胁分析小组（TAG）周四透露，它采取行动缓解了来自两个不同的政府支持的攻击者团体的威胁，这两个团体位于朝鲜，他们利用了最近发现的Chrome web浏览器中的远程代码执行缺陷。

据称，这些活动再次“反映了该政权当前的担忧和优先事项”，针对的是横跨新闻媒体、IT、加密货币和金融科技行业的美国组织，其中一组活动与去年针对安全研究人员的前几次攻击有直接的基础设施重叠。

存在问题的缺点是CVE-2022-0609，这是浏览器动画组件中的一个释放后使用漏洞，谷歌在2022年2月14日发布的更新（版本98.0.4758.102）中解决了该漏洞。这也是这家科技巨头自2022年初以来修补的第一个零日缺陷。

谷歌标签研究人员亚当·魏德曼（Adam Weidemann）在一份报告中说：“我们掌握的最早证据表明，该漏洞工具包正在积极部署，时间是2022年1月4日。”。“我们怀疑这些团队为同一实体工作，共享供应链，因此使用相同的漏洞工具包，但每个团队使用不同的任务集和部署不同的技术。”

第一场运动与以色列网络安全公司ClearSky在2020年8月称之为“梦想工作行动”的TTP相一致，针对250多名为10家不同的新闻媒体、域名注册商、网络托管提供商和软件供应商工作的个人，用迪士尼、谷歌和甲骨文等公司提供的假工作机会引诱他们。

使用虚假的工作清单是朝鲜民族国家团体的一种久经考验的策略。今年1月早些时候，朝鲜民族国家团体被发现冒充美国全球安全和航空航天公司洛克希德·马丁（Lockheed Martin），向在航空航天和国防行业求职的个人分发恶意软件有效载荷。

ClearSky的研究人员当时指出：“间谍活动和金钱盗窃的双重场景对朝鲜来说是独一无二的，朝鲜的情报机构为其国家窃取信息和金钱。”。

据信，第二个活动集群利用了同一个Chrome zero day，涉及AppleJeus操作，该操作破坏了至少两个合法的fintech公司网站，为不少于85名用户提供了该漏洞攻击。

Google TAG称，该漏洞工具包是一个多阶段感染链，包括将攻击代码嵌入受损网站及其控制下的恶意网站的隐藏互联网框架中。

“在其他情况下，我们观察到虚假网站—；已经建立起来，用于分发特洛伊加密货币应用程序—；托管iFrame，并将访问者指向漏洞工具包，”魏德曼说。

最初的阶段包括一个侦察阶段，对目标机器进行指纹识别，然后为远程代码执行（RCE）攻击提供服务，一旦成功，将导致检索第二阶段的软件包，该软件包旨在逃离沙箱，并执行进一步的攻击后活动。

2月10日发现入侵的谷歌标签（Google TAG）指出，它“无法恢复最初RCE之后的任何阶段”，并强调，威胁行为人利用了多项保障措施，包括使用AES加密，旨在明确掩盖其踪迹并阻碍中间阶段的恢复。

此外，这些活动还检查了使用macOS或Mozilla Firefox（在任何操作系统上）上的Safari等非铬浏览器的访客，将受害者重定向到已知攻击服务器上的特定链接。目前尚不清楚这些尝试是否卓有成效。

调查结果发布之际，威胁情报公司Mandiant将不同的Lazarus小组映射到了朝鲜的各个政府组织，包括侦察总局（RGB）、统一战线部（UFD）和国家安全部（MSS）。

Lazarus是一个总称，指的是源自受到严厉制裁的隐士王国的恶意网络和金融犯罪活动，就像Winnti和MuddyWater是多个团队的联合体一样，帮助推进中国和伊朗的地缘政治和国家安全目标。

Mandiant的研究人员说：“朝鲜的情报机构拥有根据国家需要建立网络单位的灵活性和韧性。”。“此外，基础设施、恶意软件以及战术、技术和程序方面的重叠表明，他们的网络行动之间存在共享资源。”