朝鲜黑客组织在补丁发布前一周利用Chrome 0day漏洞进行攻击。
谷歌研究人员发现,两个朝鲜黑客组织使用Chrome浏览器中的远程代码,在一个多月的时间里执行了0天漏洞,该漏洞被用来攻击新闻媒体、IT公司、加密货币和金融科技机构。
CVE-2022-0609漏洞是Chrome浏览器中的远程代码执行漏洞。
2月10日,谷歌威胁分析小组(TAG)的研究人员发现,两个有朝鲜 *** 背景的黑客组织利用该漏洞进行攻击。
黑客的攻击活动包括梦想作业行动和AppleJeus行动。
研究人员发现,漏洞利用组件是在1月4日部署的,而补丁是在2月14日发布的,这表明黑客利用漏洞攻击了一个多月。
针对新闻媒体和IT公司的攻击。
梦想工作行动攻击了来自10个不同新闻媒体行业、域名注册商、 *** 服务提供商和软件供应商的250人。
目标将有信誉的黑客收到来自迪士尼、谷歌和甲骨文的虚假 *** 信息电子邮件。
这封电子邮件包含指向欺骗性合法 *** 网站的链接。
欺骗性 *** 网站的例子。
受害者单击电子邮件中的链接后,将触发 *** 黑客高手隐藏的IFRAME以启动利用漏洞套件。
攻击者控制的 *** 网站的伪造域名为:
迪斯尼职业[.。
]。
*** 。
寻找梦想的工作[。
]。
COM。
Indeedus[.。
]。
奥格。
各种工作[.。
]。
COM。
Zipreruiters[.。
]。
奥格。
攻击URL包括:
HTTPS[:]//colasiprint[.]。
Com/About/about.asp(此网站是已被黑客攻击的合法网站)。
HTTPS[:]//arietyjob[.。
]。
Com/sitemap/sitemap.asp。
针对加密货币和金融科技公司的攻击。
操作AppleJeus使用相同的利用套件攻击了加密货币和金融科技行业的85名用户,并成功入侵了至少两家金融科技公司网站并植入了隐藏的IFRAME。
研究人员还发现,攻击者建立了一些虚假网站来传播特洛伊木马加密货币应用程序,隐藏IFRAME,并指向访问者利用套件。
攻击者控制的网站包括:
区块链新闻[。
]。
贵宾。
连锁新闻明星[.。
]。
COM。
财务时报365[.。
]。
COM。
阻燃剂[.。
]。
贵宾。
关口即将到期[。
]。
COM。
Gbclabs[.。
]。
COM。
巨型块[.。
]。
奥格。
Humingbot[.。
]。
木卫一。
只有新星[.。
]。
奥格。
十几岁的孩子。
]。
COM。
被黑客组织成功入侵的网站包括(2月7日-2月9日):
Www.Options-It[.。
]。
COM。
Www.tradingTechnologies[.。
]。
COM。
正在利用的URL包括:
HTTPS[:]/Financial altimes365[。
]。
Com/user/finance.asp。
HTTPS[:]//gatexpings[。
]。
Com/gate/index.asp。
HTTPS[:]/humingbot[.。
]。
IO/CDN/js.asp。
HTTPS[:]/teenbeanjs[.。
]。
Com/cloud/javascript.asp。
开发套件。
在攻击活动中,攻击者使用了一个多阶段、多组件的攻击套件来攻击用户。
攻击者使用隐藏的IFRAME指向嵌入在攻击者攻击的网站和攻击者入侵的网站中的利用漏洞套件的链接。
攻击套件使用严重混淆的 *** 来指纹目标系统。
*** 脚本还收集客户端信息,如用户 *** 和解析,并将其发送到利用漏洞的服务器。
在满足特定条件后,客户端将以Chrome远程代码的形式利用该漏洞。
如果远程代码执行成功, *** 将请求沙箱转义脚本SBX中引用的下一个阶段。
然而,研究人员未能成功恢复初始远程代码执行的任何阶段。
此外,攻击者部署了各种措施,使安全研究人员难以从任何阶段恢复,包括:
仅作为iframe;在特定时间;
在一些电子邮件攻击中,目标收到的链接都带有唯一的ID;
利用漏洞套件使用AES加密来解密每个阶段,包括客户端响应消息。
如果前一阶段失败,则后续阶段将不会继续。
在2月14日补丁发布后,研究人员还发现了许多试图利用该漏洞的攻击。
因此,研究人员建议用户尽快安装该补丁。
请参阅https://blog.google/threat- *** ysis-group/counter-threats-north-Korea/
网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户,一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此,毫无戒心的用户可能很容易成为受害者,而Vidar是一个偷窃数据的恶意软件,可以窃取被利用者的信息。 微软编译的HTML帮助(CHM)文件虽然现在...
Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...
包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 G...
澳大利亚信息专员发现,Clearview AI 在许多方面违反了澳大利亚的隐私法。在此前的双边调查中发现,该公司的面部识别工具未经同意并以不公平的方式收集澳大利亚人的敏感信息。由澳大利亚信息专员办公室(OAIC)和英国信息专员办公室(ICO)进行的调查发现,Clearview AI 的面部识别工具不...
申请一份新工作通常意味着向潜在的雇主交出一连串的个人信息,这就是为什么联邦调查局警告人们要警惕招聘网站上的假招聘广告,这些广告会窃取和出售你的详细资料。联邦调查局的互联网犯罪中心(IC3)公共服务公告警告说,自2019年以来,受害者因虚假招聘广告而损失的平均金额约为3000美元。 骗子经常仿冒正常...
据The Record报道,美国国土安全部(DHS)当地时间周二宣布,该机构的负责人已经启动了一项漏洞赏金计划,允许黑客报告其系统中的漏洞,以换取金钱奖励。 美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在出席彭博科技峰会时说:“我们不仅关注保护和加强私营部门和整个...