朝鲜黑客组织在补丁发布前一周利用Chrome 0day漏洞进行攻击。
谷歌研究人员发现,两个朝鲜黑客组织使用Chrome浏览器中的远程代码,在一个多月的时间里执行了0天漏洞,该漏洞被用来攻击新闻媒体、IT公司、加密货币和金融科技机构。
CVE-2022-0609漏洞是Chrome浏览器中的远程代码执行漏洞。
2月10日,谷歌威胁分析小组(TAG)的研究人员发现,两个有朝鲜 *** 背景的黑客组织利用该漏洞进行攻击。
黑客的攻击活动包括梦想作业行动和AppleJeus行动。
研究人员发现,漏洞利用组件是在1月4日部署的,而补丁是在2月14日发布的,这表明黑客利用漏洞攻击了一个多月。
针对新闻媒体和IT公司的攻击。
梦想工作行动攻击了来自10个不同新闻媒体行业、域名注册商、 *** 服务提供商和软件供应商的250人。
目标将有信誉的黑客收到来自迪士尼、谷歌和甲骨文的虚假 *** 信息电子邮件。
这封电子邮件包含指向欺骗性合法 *** 网站的链接。
欺骗性 *** 网站的例子。
受害者单击电子邮件中的链接后,将触发 *** 黑客高手隐藏的IFRAME以启动利用漏洞套件。
攻击者控制的 *** 网站的伪造域名为:
迪斯尼职业[.。
]。
*** 。
寻找梦想的工作[。
]。
COM。
Indeedus[.。
]。
奥格。
各种工作[.。
]。
COM。
Zipreruiters[.。
]。
奥格。
攻击URL包括:
HTTPS[:]//colasiprint[.]。
Com/About/about.asp(此网站是已被黑客攻击的合法网站)。
HTTPS[:]//arietyjob[.。
]。
Com/sitemap/sitemap.asp。
针对加密货币和金融科技公司的攻击。
操作AppleJeus使用相同的利用套件攻击了加密货币和金融科技行业的85名用户,并成功入侵了至少两家金融科技公司网站并植入了隐藏的IFRAME。
研究人员还发现,攻击者建立了一些虚假网站来传播特洛伊木马加密货币应用程序,隐藏IFRAME,并指向访问者利用套件。
攻击者控制的网站包括:
区块链新闻[。
]。
贵宾。
连锁新闻明星[.。
]。
COM。
财务时报365[.。
]。
COM。
阻燃剂[.。
]。
贵宾。
关口即将到期[。
]。
COM。
Gbclabs[.。
]。
COM。
巨型块[.。
]。
奥格。
Humingbot[.。
]。
木卫一。
只有新星[.。
]。
奥格。
十几岁的孩子。
]。
COM。
被黑客组织成功入侵的网站包括(2月7日-2月9日):
Www.Options-It[.。
]。
COM。
Www.tradingTechnologies[.。
]。
COM。
正在利用的URL包括:
HTTPS[:]/Financial altimes365[。
]。
Com/user/finance.asp。
HTTPS[:]//gatexpings[。
]。
Com/gate/index.asp。
HTTPS[:]/humingbot[.。
]。
IO/CDN/js.asp。
HTTPS[:]/teenbeanjs[.。
]。
Com/cloud/javascript.asp。
开发套件。
在攻击活动中,攻击者使用了一个多阶段、多组件的攻击套件来攻击用户。
攻击者使用隐藏的IFRAME指向嵌入在攻击者攻击的网站和攻击者入侵的网站中的利用漏洞套件的链接。
攻击套件使用严重混淆的 *** 来指纹目标系统。
*** 脚本还收集客户端信息,如用户 *** 和解析,并将其发送到利用漏洞的服务器。
在满足特定条件后,客户端将以Chrome远程代码的形式利用该漏洞。
如果远程代码执行成功, *** 将请求沙箱转义脚本SBX中引用的下一个阶段。
然而,研究人员未能成功恢复初始远程代码执行的任何阶段。
此外,攻击者部署了各种措施,使安全研究人员难以从任何阶段恢复,包括:
仅作为iframe;在特定时间;
在一些电子邮件攻击中,目标收到的链接都带有唯一的ID;
利用漏洞套件使用AES加密来解密每个阶段,包括客户端响应消息。
如果前一阶段失败,则后续阶段将不会继续。
在2月14日补丁发布后,研究人员还发现了许多试图利用该漏洞的攻击。
因此,研究人员建议用户尽快安装该补丁。
请参阅https://blog.google/threat- *** ysis-group/counter-threats-north-Korea/
据Vice的报道,美财政部将Ronin网络6.25亿美元加密货币被盗事件归咎于朝鲜黑客组织。据悉,该网络是支持Axie Infinity游戏的区块链。当地时间周四,财政部更新了制裁措施,其中包括收到资金的钱包地址并将其归于Lazarus集团。 开发商集团Sky Mavis拥有的Ronin网络在关于...
GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。...
包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 G...
英国政府拟议中的一项措施将迫使科技公司开发工具,让用户过滤掉任何被认为 “合法但有害”的材料。这些新措施被添加到英国即将出台的《网络安全法案》中,该法案将强制要求数字平台承担起保护用户免受有害内容影响的责任。 根据英国政府周五宣布的新计划,Facebook、Google和Twitter等科技平...
BlackMatter勒索软件团伙袭击了爱荷华州的一家农业企业“新合作社”,并要求590万美元的赎金。 周一,几名安全研究人员最先关注了对这次黑客攻击事件,该公司也坦诚自己遭到了网络攻击,并相应地关闭了自己的系统。这是继5月份REvil团伙对JBS发起勒索软件攻击之后,对农业行业的又一次重大打击。研...
公民实验室(Citizen Lab)的研究人员说,巴林人权活动家的iPhone今年早些时候被强大间谍软件悄悄入侵,打败了苹果公司为抵御秘密入侵而设计的新安全保护措施。这位仍在巴林并要求不透露姓名的活动人士是巴林人权中心的成员,该中心是一个获奖的非营利性组织,在海湾国家促进人权。 位于多伦多大学的互联...