Критическая уязвимость использовалась двумя группами, работающими на правительство Северной Кореи.
Хакеры, поддерживаемые правительством Северной Кореи, использовали критическую уязвимость нулевого дня в Chrome в попытке заразить компьютеры сотен людей, работающих в самых разных отраслях, включая новостные СМИ, IT, криптовалюты и финансовые услуги.
Уязвимость, отслеживаемая как CVE-2022-0609, была использована двумя разными северокорейскими хакерскими группами. Обе группы использовали один и тот же набор эксплойтов на веб-сайтах, которые либо принадлежали законным организациям и были взломаны, либо были созданы с целью распространения кода атаки на ничего не подозревающих посетителей. Одна группа, получившая название Operation Dream Job, атаковала более 250 человек, работающих в 10 различных компаниях. Другая группа, известная как AppleJeus, атаковала 85 пользователей.
Работа мечты и криптовалютное богатство
"Мы подозреваем, что эти группы работают на одну и ту же организацию с единой системой управления, отсюда и использование одного и того же набора эксплойтов, но каждая из них выполняет разные задачи и применяет разные методы", - написал в своем сообщении Адам Вайдеманн, исследователь из группы анализа угроз Google. "Возможно, что другие злоумышленники, поддерживаемые правительством Северной Кореи, имеют доступ к тому же набору эксплойтов".
"Dream Job" действует по меньшей мере с июня 2020 года, когда исследователи из ClearSky, фирмы занимающейся безопасностью, заметили, что группа нацелилась на оборонные и правительственные компании. Злодеи обращались к конкретным сотрудникам организаций с фальшивыми предложениями "работы мечты" в таких компаниях, как Boeing, McDonnell Douglas и BAE. Хакеры разработали сложную кампанию социальной инженерии, в которой использовались фиктивные профили LinkedIn, электронные письма, сообщения WhatsApp и телефонные звонки. Цель кампании заключалась как в краже денег, так и в сборе разведданных.
AppleJeus, между тем, датируется как минимум 2018 годом. Именно тогда исследователи из компании "Касперский" увидели, что северокорейские хакеры атаковали криптовалютную биржу с помощью вредоносного ПО, которое выдавало себя за приложение для торговли криптовалютой.
AppleJeus была примечательна тем, что в ней использовалось вредоносное приложение, написанное для macOS. По словам исследователей компании, это, вероятно, первый случай, когда APT - сокращенное название поддерживаемой правительством "передовой группы постоянных угроз" - использовала вредоносное ПО для этой платформы. Также следует отметить использование вредоносного ПО, которое работало исключительно в памяти без записи файла на жесткий диск, что значительно затрудняет его обнаружение.
Одна из двух групп (Вейдеман не сказал, какая именно) также использовала некоторые из тех же серверов управления для заражения исследователей безопасности в прошлом году. В кампании использовались вымышленные личности в Twitter, чтобы наладить отношения с исследователями. После установления доверительных отношений хакеры использовали либо "0-day" Internet Explorer, либо вредоносный проект Visual Studio, который содержал исходный код для пробного эксплойта.
В феврале исследователи Google узнали о критической уязвимости "нулевого дня" в Chrome. Инженеры компании устранили "дыру" в безопасности и присвоили ей обозначение CVE-2022-0609. В четверг компания предоставила более подробную информацию об уязвимости и о том, как две северокорейских хакерских группировки использовали ее.
"Работа мечты" рассылала адресатам электронные письма, которые якобы приходили от рекрутеров, работающих в компаниях Disney, Google и Oracle. Ссылки, встроенные в электронные письма, подменяли настоящие сайты по поиску работы, такие как Indeed и ZipRecruiter. Эти сайты содержали iframe, который запускал эксплойт.
Вот пример одной из используемых страниц:
Участники AppleJeus скомпрометировали сайты как минимум двух легальных финансовых компаний, а также множество специальных сайтов, продвигающих вредоносные криптовалютные приложения. Как и сайты Dream Job, сайты, использованные AppleJeus, также содержали iframe, которые запускали эксплойт.
Есть ли в этом наборе выход из "песочницы"?
Набор эксплойтов был написан таким образом, чтобы тщательно скрыть атаку, в частности, маскируя код эксплойта и вызывая удаленное выполнение кода только в отдельных случаях. Кроме того, похоже, что набор использовал отдельный эксплойт для выхода из "песочницы" безопасности Chrome. Исследователи Google не смогли определить этот код, оставляя возможность того, что уязвимость, которую он использовал, еще не исправлена.
Изначально набор содержал сильно обфусцированный javascript, используемый для снятия "отпечатка" цели кибератаки. Этот скрипт собирал всю доступную информацию о клиенте, такую как user-agent, разрешение и т.д., а затем отправлял ее обратно на сервер для анализа и выработки стратегии последующей атаки. Если набор неизвестных требований был выполнен, клиенту предлагался эксплойт Chrome RCE и некоторые дополнительные javascript. Если RCE был успешным, javascript запрашивал следующий этап, который в сценарии обозначался как "SBX", что является общепринятым сокращением для Sandbox Escape. К сожалению, исследователям не удалось восстановить ни один из этапов, которые следовали за начальным RCE.
Тщательно защищая свой эксплойт, злоумышленники применили множество защитных мер, чтобы затруднить командам безопасности восстановление любого из этапов. Эти меры защиты включали в себя:
- Предоставление iframe только в определенное время, предположительно, когда они знали, что целевая аудитория будет посещать сайт.
- В некоторых кампаниях по электронной почте цели получали ссылки с уникальными идентификаторами. Это потенциально использовалось для обеспечения политики однократного нажатия на каждую ссылку, что позволяло использовать набор эксплойтов только один раз.
- Набор эксплойтов содержал AES-шифрование каждого этапа, включая ответы клиентов, с помощью ключа, специфичного для конкретной сессии.
- Если предыдущий этап оказывался неудачным, последующие этапы не выполнялись.
Исследователи Google также обнаружили доказательства того, что набор содержал компоненты, способные использовать Safari для macOS и Firefox для всех поддерживаемых операционных систем.
После того как 14 февраля Google исправил уязвимость в Chrome, хакеры предприняли множество попыток воспользоваться уязвимостью. Эта находка "подчеркивает важность применения обновлений безопасности по мере их появления", - сказал Вайдман.
По состоянию на четверг только один антивирус обнаружил набор эксплойтов, показал VirusTotal.
Анализ показывает, что северокорейские хакеры, которых часто называют Lazarus, продолжают совершенствовать свои навыки, используя многие из тех же передовых методов, которые их коллеги в других странах используют уже более десяти лет. Все, кто использует текущую версию Chrome, автоматически защищены. Однако вполне вероятно, что Lazarus пойдет дальше и найдет новые уязвимости для использования.