BIZIT 11 - prvi dan

Google je zaustavio severnokorejske sajber napade

Google-ova grupa za analizu pretnji otkrila par severnokorejskih hakerskih timova pod nadimcima Operation Dream Job i Operation AppleJeus u februaru koji su koristili distribuciju daljinskog izvršavanja koda u veb pretraživaču Chrome.

PCPress.rs Image

Severnokorejski hakeri

Navodno su ciljali američke medije, IT, kripto i fintech industriju a dokazi o njihovim napadima datiraju još od 4. januara 2022. godine, iako Grupa za analizu pretnji napominje da su mete mogle biti i organizacije van SAD.

„Sumnjamo da ove grupe rade za isti entitet sa zajedničkim lancem snabdevanja, pa stoga koriste isti sistem, ali svaka radi sa različitim skupom misija i primenjuje različite tehnike“, napisao je tim Google-a.„ Moguće je da drugi napadači koje podržava vlada Severne Koreje imaju pristup istom sistemu za distribuciju.

Operacija Dream Job ciljala je 250 ljudi u 10 kompanija sa lažnim ponudama za posao poput Disney-a i Oracle-a, poslatih sa naloga lažiranih da izgledaju kao da dolaze od Indeed-a ili ZipRecruiter-a. Klikom na link pokrenuo bi se skriveni iframe koji bi pokrenuo napad.

Pročitajte i:  Masivna krađa Pokemon podataka

Operacija AppleJeus, s druge strane, ciljala je više od 85 korisnika u industriji kriptovaluta i fintech-a koristeći isti sistem za distribuciju. Taj napor je uključivao „kompromitovanje najmanje dve legitimne veb stranice fintech kompanija i hostovanje skrivenih iframe-ova “, otkrili su Google-ovi istraživači bezbednosti.

„U drugim slučajevima, primetili smo lažne veb stranice, već postavljene za distribuciju trojanizovanih aplikacija za kriptovalute koje hostuju iframe i upućuju svoje posetioce na sisteme za distribuciju.“

„Sistem se u početku služi nekim jako zamagljenim javascript-om koji se koristi za otisak prsta ciljnog sistema“. „Ova skripta je prikupila sve dostupne informacije o klijentu a zatim ih poslala nazad na server za distribuciju.

Ako bi bio ispunjen skup nepoznatih zahteva, klijentu bi se isporučio Chrome RCE i neki dodatni javascript. Ako je RCE bio uspešan, javascript bi zahtevao sledeću fazu koja se u skripti navodi kao „SBX“, uobičajena skraćenica za Sandbox Escape.“

Google bezbednosna grupa je otkrila aktivnost 10. februara i zaštitila podatke do 14. februara. Kompanija je dodala sve identifikovane veb stranice i domene u svoju bazu podataka bezbednog pregleda i obavestila sve ciljane korisnike Gmail-a i Workspace-a o tim pokušajima.

Pročitajte i:  Devoteam globalno optimizuje rad zaposlenih implementiranjem funkcije “Gemini za Google Workspace”

Izvor: Engadget

Facebook komentari:
Računari i Galaksija
Tagovi: , ,