谷歌揭露两个朝鲜黑客组织的网络攻击活动

图片[1]-谷歌揭露两个朝鲜黑客组织的网络攻击活动-安全小天地

谷歌威胁分析团队(TAG)近日发布了一份研究报告,称前不久发现了两个有国家背景的朝鲜黑客组织,他们在谷歌修复漏洞的前几周利用Chrome中的远程代码执行漏洞CVE-2022-0609实施了网络攻击

这两个黑客组织的活动分别被称为Operation Dream Job和Operation AppleJeus。这两个组织表面上是分开的,但他们在攻击活动中使用了相同的漏洞利用工具包,这表明他们可能为具有共享供应链的同一实体工作,并且不排除其他朝鲜黑客组织也可以访问相同的漏洞利用工具包的可能。

Operation Dream Job

针对新闻媒体和 IT 公司的黑客活动

该活动针对10家不同的新闻媒体、域名注册商、网络托管服务提供商和软件供应商中的250多名员工。攻击者会向攻击目标发送电子邮件,声称自己是来自迪士尼、谷歌和甲骨文的招聘人员,并承诺虚假的工作机会以引诱攻击目标上当。这些电子邮件中包含欺骗性的合法求职网站链接,如Indeed和ZipRecruiter。

 

点击链接的受害者将获取一个隐藏的iframe,该iframe将触发漏洞利用工具包。

图片[2]-谷歌揭露两个朝鲜黑客组织的网络攻击活动-安全小天地

Operation AppleJeus

针对加密货币和金融科技组织的活动

另一个朝鲜黑客组织的活动则是针对加密货币和金融科技行业的85多名用户,利用的是相同的漏洞利用工具包。攻击手段之一是通过至少两个合法的金融科技公司网站托管隐藏的iframe,以便将访问者指向漏洞利用工具包。还有则是通过虚假网站(已设置为分发木马化的加密货币应用程序)托管iframe并将其访问者指向漏洞利用工具包。

图片[3]-谷歌揭露两个朝鲜黑客组织的网络攻击活动-安全小天地

漏洞利用工具包概述

攻击者将包含多个阶段和组件的漏洞利用工具包的链接放置在隐藏的iframe中,这些iframe嵌入在攻击者所拥有的两个网站以及他们入侵的一些网站上。

该工具包最初提供一些用于对目标系统进行指纹识别的经严重混淆的javascript,此脚本会收集所有可用的客户端信息(如用户代理、解析等),然后将其发送回开发服务器。若满足一组未知要求,则将为客户端提供Chrome RCE漏洞利用和一些额外的javascript。一旦RCE 成功,javascript 将请求引用自脚本”SBX”(沙箱绕过的常用首字母缩略词)的下一阶段。

攻击者为其漏洞利用部署了多种保护措施,使安全团队难以恢复最初RCE之后的任何阶段。这些保护措施包括:

仅在特定时间提供iframe,很可能是当他们知道预期的目标将访问该网站时。

在某些电子邮件中,目标会收到具有唯一 ID 的链接。这可能用于对每个链接强制实施一次性点击策略,并且仅提供一次漏洞利用工具包。

漏洞利用工具包将AES(高级加密标准)加密每个阶段,包括使用特定会话密钥的客户端响应。

一旦某一阶段失败,就不会提供漏洞利用的后续阶段。

资讯来源:Google Threat Analysis Group (TAG)

转载请注明出处和本文链接

每日涨知识

中间人攻击

一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,拦截正常的网络通信数据,并进行数据篡改和嗅探,这台计算机就称为“中间人”。



「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容