Google je zaustavio severnokorejske sajber napade
Google-ova grupa za analizu pretnji otkrila par severnokorejskih hakerskih timova pod nadimcima Operation Dream Job i Operation AppleJeus u februaru koji su koristili distribuciju daljinskog izvršavanja koda u veb pretraživaču Chrome.
Severnokorejski hakeri
Navodno su ciljali američke medije, IT, kripto i fintech industriju a dokazi o njihovim napadima datiraju još od 4. januara 2022. godine, iako Grupa za analizu pretnji napominje da su mete mogle biti i organizacije van SAD.
„Sumnjamo da ove grupe rade za isti entitet sa zajedničkim lancem snabdevanja, pa stoga koriste isti sistem, ali svaka radi sa različitim skupom misija i primenjuje različite tehnike“, napisao je tim Google-a.„ Moguće je da drugi napadači koje podržava vlada Severne Koreje imaju pristup istom sistemu za distribuciju.
Operacija Dream Job ciljala je 250 ljudi u 10 kompanija sa lažnim ponudama za posao poput Disney-a i Oracle-a, poslatih sa naloga lažiranih da izgledaju kao da dolaze od Indeed-a ili ZipRecruiter-a. Klikom na link pokrenuo bi se skriveni iframe koji bi pokrenuo napad.
Operacija AppleJeus, s druge strane, ciljala je više od 85 korisnika u industriji kriptovaluta i fintech-a koristeći isti sistem za distribuciju. Taj napor je uključivao „kompromitovanje najmanje dve legitimne veb stranice fintech kompanija i hostovanje skrivenih iframe-ova “, otkrili su Google-ovi istraživači bezbednosti.
„U drugim slučajevima, primetili smo lažne veb stranice, već postavljene za distribuciju trojanizovanih aplikacija za kriptovalute koje hostuju iframe i upućuju svoje posetioce na sisteme za distribuciju.“
„Sistem se u početku služi nekim jako zamagljenim javascript-om koji se koristi za otisak prsta ciljnog sistema“. „Ova skripta je prikupila sve dostupne informacije o klijentu a zatim ih poslala nazad na server za distribuciju.
Ako bi bio ispunjen skup nepoznatih zahteva, klijentu bi se isporučio Chrome RCE i neki dodatni javascript. Ako je RCE bio uspešan, javascript bi zahtevao sledeću fazu koja se u skripti navodi kao „SBX“, uobičajena skraćenica za Sandbox Escape.“
Google bezbednosna grupa je otkrila aktivnost 10. februara i zaštitila podatke do 14. februara. Kompanija je dodala sve identifikovane veb stranice i domene u svoju bazu podataka bezbednog pregleda i obavestila sve ciljane korisnike Gmail-a i Workspace-a o tim pokušajima.
Izvor: Engadget