Google: twee Noord-Koreaanse hackersgroepen vielen Amerikaanse bedrijven aan – Computer – Nieuws

Googles Threat Analysis Group heeft ontdekt dat twee Noord-Koreaanse hackerscollectieven vorige maand aanvallen hebben uitgevoerd op Amerikaanse bedrijven. Ze deden dat door een kwetsbaarheid in Chrome uit te buiten. De kwetsbaarheid is sinds vorige maand gedicht.

Volgens Googles Threat Analysis Group werkten de twee groepen voor dezelfde opdrachtgever, vermoedelijk de Noord-Koreaanse overheid, en gebruiken ze dezelfde exploitkit om een kwetsbaarheid in Chrome, CVE-2022-0609, te misbruiken. Beide groepen hadden wel elk andere doelstellingen en methodieken. De kwetsbaarheid werd volgens Google op 14 februari gedicht.

Het eerste hackerscollectief ondernam een aanval, genaamd Operation Dream Job, waarbij meer dan 250 werknemers uit mediabedrijven, webhostingbedrijven en softwarebedrijven geviseerd werden. De werknemers kregen een mail toegestuurd met daarin een jobaanbieding van Disney, Google of Oracle. De mail leek van vacaturesites zoals Indeed of ZipRecruiter te komen en als men de link naar de jobverwijzing aanklikte, kregen de slachtoffers een vervalste website te zien waarin een verborgen iframe een exploitkit begon te laden.

Het tweede hackerscollectief richtte zich met Operation AppleJeus op 85 gebruikers in de cryptocurrency- en fintechindustrie. Het gebruikte volgens Google dezelfde exploitkit als de eerste groep. Twee fintech-bedrijven werden volgens Google getroffen waardoor de hackers verborgen iframes konden laden op de landingspagina van deze websites. Er werden ook malafide websites gehost waarop trojaanse paarden werden verspreid en dezelfde iframes actief waren. Die iframes verwezen ook naar dezelfde exploitkits.

De beveiligingsonderzoekers van Google achterhaalden dat de exploitkits een javascript laadden om de computers van de getroffen gebruikers te fingerprinten. Het script verzamelde informatie over het apparaat en stuurde die vervolgens door naar een server. Als bepaalde criteria werden gehaald, werd een exploit voor een Chrome-kwetsbaarheid toegestuurd. Als er toegang kon gekregen worden tot het systeem, werd een volgende script toegestuurd waardoor een sandbox escape mogelijk werd en verdere toegang tot het apparaat mogelijk werd. Welke handelingen de exploit daarna uitvoerde, konden de onderzoekers van Google niet achterhalen. Ze stelden vast dat de hackers meerdere maatregelen troffen die het zeer moeilijk maakten om inzicht te krijgen in het verdere verloop van de aanval.