Kuzey Koreli devlet bilgisayar korsanları, haber medyasını, BT şirketlerini, kripto para birimini ve fintech kuruluşlarını hedef alan saldırılarda, bir yamanın kullanıma sunulmasından bir aydan uzun bir süre önce Google Chrome web tarayıcısında sıfır gün, uzaktan kod yürütme güvenlik açığından yararlandı.
Google’ın Tehdit Analizi Grubu (TAG), yakın zamanda yama yapılan iki kampanyayı CVE-2022-0609 (şu anda yalnızca “Animasyonda ücretsiz kullanım” olarak tanımlanmaktadır) Kuzey Kore hükümeti tarafından desteklenen iki ayrı saldırgan grubuna.
Exploit, Ocak ayının başından beri aktif olarak konuşlandırıldı
Google TAG, BleepingComputer ile önceden paylaşılan bir raporda, 330’dan fazla kişiyi hedef alan bu faaliyetlerle ilgili taktikleri, teknikleri ve prosedürleri (TTP’ler) detaylandırıyor.
Kurbanlar, sonunda CVE-2022-0609 için istismar kitini etkinleştirecek olan e-postalar, sahte web siteleri veya güvenliği ihlal edilmiş meşru web siteleri aracılığıyla hedef alındı.
Google TAG, kampanyaları 10 Şubat’ta keşfetti ve dört gün sonra acil bir Google Chrome güncellemesinde güvenlik açığını giderdi.
Ancak araştırmacılar, aktif olarak istismar edilen sıfırıncı gün güvenlik açığının en erken işaretinin 4 Ocak 2022’de bulunduğunu söylüyorlar.
Lazarus Group olarak da adlandırılan Kuzey Koreli bilgisayar korsanları ile bağlantı, geçen yıl aynı tehdit aktörüne atfedilen başka bir etkinlikle doğrudan altyapı örtüşen kampanyalardan biri tarafından sağlanıyor: hedef güvenlik araştırmacıları Sahte Twitter ve LinkedIn sosyal medya hesaplarını kullanmak.
Açıktan yararlanmaya hizmet etmek için yasal siteleri ihlal etmek
İki Kuzey Koreli tehdit alt grubundan biri, “10 farklı haber medyası, alan adı kayıt şirketleri, web barındırma sağlayıcıları ve yazılım satıcıları için çalışan 250’den fazla kişiye” odaklandı.
Google TAG, bu etkinliğin aşağıdakilerle tutarlı olduğunu not eder: Operasyon Rüya İşiAğustos 2020’de ClearSky’deki araştırmacılar tarafından detaylandırılan bir Kuzey Kore siber casusluk kampanyası.
Dream Job Operasyonu, Boeing, McDonnell Douglas ve BAE gibi ABD’deki önde gelen savunma ve havacılık şirketlerinden sahte iş teklifleriyle kurbanları cezbetti.
Google TAG, kampanyada hedeflerin Disney, Google ve Oracle’daki işe alım uzmanlarından sahte iş fırsatları içeren kimlik avı e-postaları aldığını keşfettiğini belirtiyor.
“E-postalar, Indeed ve ZipRecruiter gibi meşru iş arama web sitelerini yanıltıcı bağlantılar içeriyordu” araştırmacılar açıklıyorüzerlerine tıklamanın kurbanlara istismar kitini tetikleyen gizli bir iframe sunacağını ekleyerek.
Saldırgan, bu kampanya için disneycareers gibi bazı alan adlarını kaydettirdi[.]net ve bul dreamjob[.]com değil, aynı zamanda en az bir meşru web sitesini de tehlikeye attı.
Google TAG tarafından CVE-2022-0609 için aynı istismar kitini kullanmak için keşfedilen ikinci kampanya, kripto para birimi ve fintech endüstrilerinde 85’ten fazla kullanıcıyı hedef aldı ve arkasındaki aynı gruba atfedildi. AppleJeus Operasyonu [1, 2, 3]2018’de Kaspersky tarafından detaylandırılmıştır.
“Bu, en az iki meşru fintech şirketi web sitesinden ödün vermeyi ve istismar kitini ziyaretçilere sunmak için gizli iframe’leri barındırmayı içeriyordu. Diğer durumlarda, zaten dağıtmak için kurulmuş olan sahte web siteleri gözlemledik. Truva atlı kripto para uygulamaları – iframe’leri barındırma ve ziyaretçilerini istismar kitine yönlendirme” – Google TAG
Tıpkı önceki kampanyada olduğu gibi, bu grup da yeni alan adları kaydetti ve birkaç meşru olanı tehlikeye attı.
Açıklardan yararlanma zincirini koruma
İstismarı analiz eden araştırmacılar, saldırganın, hedefleri tehlikeye atmak için gereken çoklu istismar aşamalarını kurtarmayı zorlaştıran çeşitli koruma özelliklerini entegre ettiğini buldu.
Örneğin, açıklardan yararlanma kitine bağlantı içeren iframe belirli zamanlarda sunuldu, bazı hedefler benzersiz kimlikler aldı (yalnızca bir kez açıktan yararlanmaya hizmet etmek için), kitin her aşaması şifrelendi (istemci yanıtları da) ve ikincil konuma taşındı. aşamalar bir öncekinin başarısına bağlı olacaktır.
Araştırmacılar, kitin ilk etkinliğinin, kullanıcı aracısı ve ekran çözünürlüğü gibi ayrıntıları toplayarak hedef sistemin parmak izini almak olduğunu söylüyor.
Bu veriler bir dizi özel gereksinimle (şu anda bilinmiyor) eşleşiyorsa, istemci, web tarayıcısının sınırlamalarını sisteme taşımak için bir sanal alan kaçışı talep eden bir Chrome uzaktan kod yürütme (RCE) ve Javascript kodu aldı.
Google TAG, ilk uzaktan kod yürütme adımını izleyen aşamaların hiçbirini kurtaramadı.
Araştırmacılar, Kuzey Koreli bilgisayar korsanlarının yalnızca Google Chrome kullanıcılarıyla ilgilenmediğine dair kanıtlar buldular ve ayrıca macOS ve Firefox’ta Safari kullanıcılarını kontrol ederek onları “bilinen istismar sunucularındaki belirli bağlantılara” yönlendirdiler.
Ancak analiz sırasında, gözlemlenen URL’ler herhangi bir yanıt döndürmedi.
İstismar URL’leri ve saldırganın kaydettiği etki alanları dahil olmak üzere, güvenlik ihlali göstergelerinin tam listesi şurada mevcuttur: Google TAG raporu.