logo Lokapc.com

TIN TẶC TRIỀU SỬ DỤNG CHROME KHAI THÁC CÁC MỤC TIÊU CỦA HOA KỲ

Đăng bởi Nguyễn Khánh Vy vào lúc 25/03/2022

 

 

Trong một chiến dịch gần đây, tin tặc Triều Tiên đã đóng giả là nhà tuyển dụng từ Disney, Google và Oracle để lừa nạn nhân truy cập các trang web độc hại.

Theo Google, đầu năm nay, tin tặc Triều Tiên đã sử dụng một lỗ hổng nghiêm trọng trên trình duyệt Chrome để nhắm mục tiêu vào các nạn nhân ở Mỹ, theo Google.

Bên cạnh đó, công ty này đã cung cấp thêm chi tiết về lỗ hổng, CVE-2022-0609, đã được vá trong Chrome vào tháng trước. Vào thời điểm đó, Google đã thông tin rất ít về chi tiết lỗ hổng có mức độ nghiêm trọng "cao", nhưng cảnh báo rằng nó đang bị lợi dụng.

Công ty cho biết CVE-2022-0609 hiện có thể kích hoạt thực thi mã từ xa trên trình duyệt Chrome, mà tin tặc có thể đã sử dụng để tải phần mềm độc hại vào máy tính.

Google cũng phát hiện ra bằng chứng cho thấy hai nhóm hack do nhà nước bảo trợ của Triều Tiên đã bắt đầu khai thác lỗ hổng bảo mật từ 04/01. “Chúng tôi đã quan sát thấy các chiến dịch nhắm mục tiêu vào các tổ chức có trụ sở tại Hoa Kỳ trong các ngành công nghiệp truyền thông tin tức, CNTT, tiền điện tử và fintech. Tuy nhiên, các tổ chức và quốc gia khác cũng có thể đã bị nhắm đến”, nhà nghiên cứu bảo mật của Google, Adam Weidemann viết trong một bài đăng trên blog của công ty.

Nhóm đầu tiên, có tên là Operation Dream Job, nhắm đến “hơn 250 cá nhân làm việc cho 10 phương tiện truyền thông tin tức, công ty đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ web và nhà cung cấp phần mềm khác nhau,” ông nói thêm. Để làm như vậy, các tin tặc đã sử dụng cách gửi thư mời làm việc giả mạo thông qua email giả mạo đến từ các công ty bao gồm Disney, Google và Oracle.

 

Những email này chứa các liên kết giả mạo các trang web tìm việc hợp pháp, bao gồm Indeed, ZipRecruiter và trang nghề nghiệp của Disney. Nhưng trên thực tế, các trang web là bẫy để kích hoạt lỗ hổng CVE-2022-0609 trong Chrome.

Nhóm thứ hai của Triều Tiên, có tên là Operation AppleJeus, đã cố gắng tấn công hơn 85 người dùng trong ngành công nghiệp tiền điện tử và fintech. Điều này liên quan đến việc xâm nhập ít nhất hai trang web của công ty fintech thực sự và sử dụng iframe ẩn trong các trang để khai thác lỗ hổng Chrome. Trong các trường hợp khác, nhóm này đã sử dụng các trang web tiền điện tử giả để thực hiện cuộc tấn công.

Bản thân cuộc tấn công được gọi là bộ công cụ khai thác, bao gồm nhiều giai đoạn, giai đoạn đầu tiên cố gắng lấy dấu phần cứng của nạn nhân bằng cách thu thập thông tin về thông số kỹ thuật và cấu hình. Weidemann nói: “Nếu một tập hợp các yêu cầu không xác định được đáp ứng, khách hàng sẽ được cung cấp một Chrome RCE (thực thi mã từ xa) và một số javascript bổ sung.

 

“Nếu RCE thành công, JavaScript sẽ yêu cầu giai đoạn tiếp theo được tham chiếu trong tập lệnh là‘ SBX ’, một từ viết tắt phổ biến của Sandbox Escape. Rất tiếc, chúng tôi không thể khôi phục bất kỳ giai đoạn nào theo sau RCE ban đầu,” ông nói thêm. Do đó, không hoàn toàn rõ ràng cuộc tấn công nhằm mục đích gì, nhưng nghiên cứu trước đây đã chỉ ra rằng các tin tặc Triều Tiên rất muốn ăn cắp tiền điện tử.

Các tin tặc cũng xây dựng một số biện pháp bảo vệ vào các trang web độc hại của họ để ngăn các nhà nghiên cứu bảo mật phát hiện ra toàn bộ bộ công cụ khai thác. Điều này bao gồm việc tấn công thông qua các trang web độc hại chỉ hoạt động vào những thời điểm cụ thể trong ngày. Một số chiến dịch email lừa đảo từ tin tặc cũng đi kèm với ID duy nhất trên các liên kết, có thể được sử dụng để áp đặt “chính sách nhấp một lần cho mỗi liên kết”.

Ngoài ra, tin tặc Triều Tiên có thể đã lợi dụng các lỗ hổng trên các trình duyệt khác để tấn công các mục tiêu. “Mặc dù chúng tôi đã khôi phục Chrome RCE, nhưng chúng tôi cũng tìm thấy bằng chứng cho thấy những kẻ tấn công đã kiểm tra cụ thể những khách truy cập sử dụng Safari trên macOS hoặc Firefox (trên bất kỳ hệ điều hành nào) và hướng họ đến các liên kết cụ thể trên các máy chủ khai thác đã biết. Chúng tôi đã không nhận được bất kỳ phản hồi nào từ các URL đó.” Weidemann nói.

Tin tốt là Google đã vá lỗ hổng bảo mật vào 14/02/2022, 4 ngày sau khi phát hiện ra nó. Tuy nhiên, tin tặc Triều Tiên vẫn cố gắng khai thác lỗ hổng của trình duyệt ngay cả khi bản vá đã được tung ra. Để bảo vệ người dùng hơn nữa, Google cho biết họ đã gửi “tất cả những người dùng Gmail và Workspace đã bị nhắm mục tiêu cảnh báo về kẻ tấn công do chính phủ hậu thuẫn để thông báo cho họ về hoạt động này”.

Weidemann nói thêm: “Chúng tôi nghi ngờ rằng các nhóm này làm việc cho cùng một thực thể với một chuỗi cung ứng chung, do đó sử dụng cùng một bộ công cụ khai thác, nhưng mỗi nhóm hoạt động với một bộ nhiệm vụ khác nhau và triển khai các kỹ thuật khác nhau. Có thể những kẻ tấn công khác được chính phủ Triều Tiên hậu thuẫn có quyền truy cập vào cùng một bộ công cụ khai thác.”


 

popup

Số lượng:

Tổng tiền:

Xin chào
close nav