谷歌的威胁分析小组周四宣布,它在 2 月份发现了两名朝鲜黑客干部,他们分别利用了 Chrome 网络浏览器中的远程代码执行漏洞,他们的绰号是 Operation Dream Job 和 Operation AppleJeus。
据报道,黑客攻击的目标是美国新闻媒体、IT、加密和金融科技行业,有证据表明他们的攻击可以追溯到 2022 年 1 月 4 日,尽管威胁分析小组指出,美国以外的组织也可能成为目标。
谷歌团队周四写道: “我们怀疑这些团体为具有共享供应链的同一个实体工作,因此使用相同的漏洞利用工具包,但每个团体都有不同的任务集并部署不同的技术。” “其他朝鲜政府支持的攻击者有可能获得相同的漏洞利用工具包。”
Operation Dream Job针对 10 家公司的 250 名员工,提供来自迪士尼和甲骨文等公司的欺诈性工作机会,这些工作机会来自假冒的账户,看起来像是来自 Indeed 或 ZipRecruiter。单击该链接将启动一个隐藏的 iframe,从而触发漏洞利用。
另一方面, Operation AppleJeus使用相同的漏洞利用工具包针对加密货币和金融科技行业的 85 多名用户。谷歌的安全研究人员发现,这项工作涉及“破坏至少两个合法的金融科技公司网站并托管隐藏的 iframe 以向访问者提供漏洞利用工具包”。 “在其他情况下,我们观察到虚假网站——已经设置为分发木马加密货币应用程序——托管 iframe 并将其访问者指向漏洞利用工具包。”
“该工具包最初提供了一些用于识别目标系统的严重混淆的javascript,”该团队说。 “该脚本收集所有可用的客户端信息,例如用户代理、分辨率等,然后将其发送回漏洞利用服务器。如果满足一组未知要求,将为客户端提供 Chrome RCE 漏洞利用和一些额外的“
Google 安全小组在 2 月 10 日发现了该活动,并在 2 月 14 日之前对其进行了修补。该公司已将所有已识别的网站和域添加到其安全浏览数据库中,并将这些尝试通知所有目标 Gmail 和 Workspace 用户。