Одной из наиболее тревожных проблем в области компьютерной безопасности является "уязвимость нулевого дня". И вопрос стоит наиболее остро хотя бы потому, что злоумышленник знает о скрытом серьезном недостатке или ошибке в каком-то программном обеспечении — в данном случае в браузере — для которого еще нет доступных исправлений. Хакеры любят такие уязвимости, и в новом отчете группы анализа угроз Google (TAG) доводится информация о том, как спонсируемая государством хакерская банда из Северной Кореи использует именно такую уязвимость нулевого дня в Chrome.
TAG сообщает, что в период с января по февраль 2022 года северокорейские хакеры использовали Google Chrome с "нулевым днем", что позволяло им выполнять данный код на атакуемых машинах. До того, как эксплойт был исправлен, северокорейцы использовали его для компрометации компьютеров различных медиа- и финтех-компаний. Исследователи присвоили уязвимости код CVE-2022-0609. Две разные, но, вероятно, связанные группы использовали "нулевой день" и дали своим операциям забавные прозвища Operation Dream Job и Operation AppleJeus.
По данным TAG, операция "Работа мечты" была направлена против СМИ, регистраторов доменов, поставщиков программного обеспечения и веб-хостингов — до 250 отдельных целей в десяти различных организациях. Хакеры рассылали поддельные электронные письма о наборе сотрудников якобы от Disney, Google и Oracle. Хотя электронные письма выглядели так, как будто они пришли с сайтов Indeed.com или ZipRecruiter, на самом деле они ссылались на поддельные версии этих сайтов. В идеале — то есть для хакеров — метка должна переходить на поддельный сайт, где скрытый iframe (одна HTML-страница, вложенная в другую) запускает вредоносное ПО, предназначенное для эксплуатации уязвимости. "Операция AppleJeus" атаковала криптовалютные и финтех-компании, всего до 85 человек, с использованием одного и того же набора вредоносных программ. В дополнение к поддельным сайтам, используемым для заражения, по крайней мере два законных сайта также были скомпрометированы и использовались для распространения этой атаки.
Что касается того, как работали эти атаки и какие данные были похищены для злонамеренного использования в будущем, TAG пока не делится подробностями, потому что хакеры старались скрыть свои следы на многих этапах пути. С другойтсороны, анализ поддельных криптосайтов позволяет кое-что узнать, а именно то, что TAG описывает как "троянизированные криптовалютные приложения", которые также часто используются для кражи финансовых данных и токенов.
Исследователи TAG смогли определить, что хакеры не только атаковали Chrome, но и заманивали пользователей Safari и Firefox вредоносными ссылками. И, к сожалению для всех, кто стал жертвой этих атак, они продолжались более месяца, с 4 января 2022 года по 14 февраля, прежде чем патч завершил работу.
Иван Ковалев
VIAХотели бы вы попробовать себя в роли мусорщика? Нет? А если он будет к тому же бороться за освобождение города от
Перед Galaxy S22 Ultra стоит непростая задача — попытаться превзойти один из лучших телефонов, когда-либо созданных
Исчерпывающий набор интерфейсов на задней панели и приличная элементная база на плате позволяют надолго забыть об
