Google ha scoperto che gli hacker con sede in Corea del Nord hanno trascorso settimane sfruttando una falla zero-day di esecuzione di codice remoto in Chrome all’inizio di quest’anno.
Il Threat Analysis Group (TAG) di Google ha pubblicato un rapporto di divulgazione che spiega come il regime autoritario è stato in grado di predare il bug per sfruttare più obiettivi per attacchi finanziari e di intelligence per settimane prima che il bug fosse patchato.
La vulnerabilità zero-day di Chrome, elencata come CVE-2022-0609, è un bug use-after-free nel browser di Google che permette agli attaccanti di inserire codice dannoso all’interno di posizioni di memoria vulnerabili. Questo potrebbe potenzialmente portare all’esecuzione di codice da remoto. Il bug è stato patchato in Chrome 98.0.4758.102, e il riavvio del browser applicherà l’aggiornamento per la maggior parte degli utenti.
Prima che la patch fosse rilasciata, tuttavia, gli aggressori sono stati in grado di trascorrere settimane tirando fuori una serie di operazioni segrete tra il 4 gennaio e il 14 febbraio.
Adam Weidemann, un ricercatore di TAG, ha detto che il regime autoritario reclusivo ha condotto un paio di operazioni che hanno utilizzato la falla per effettuare un paio di operazioni che avrebbero aumentato le risorse del suo governo.
“Sospettiamo che questi gruppi lavorino per la stessa entità con una catena di approvvigionamento condivisa, da cui l’uso dello stesso kit di exploit, ma ognuno opera con un set di missioni diverse e impiegano tecniche diverse“, ha scritto Weidemann.
“È possibile che altri attaccanti sostenuti dal governo nordcoreano abbiano accesso allo stesso exploit kit“.
Nel primo caso, gli aggressori miravano a colpire i media e le aziende IT. L’obiettivo non era il contenuto delle notizie in sé, ma piuttosto l’infrastruttura.
Usando nomi come Disney e Variety, gli hacker hanno usato e-mail in cerca di lavoro per portare gli obiettivi a domini simili a quelli che avrebbero usato gli iframe per installare il malware attraverso gli exploit scritti negli iframe. Da lì, le vittime sarebbero state alimentate da malware in cerca di dati.
Il secondo attacco si è concentrato sul settore finanziario. In particolare, gli aggressori nordcoreani stavano cercando di entrare nei sistemi di almeno 85 utenti diversi che erano collegati a varie piattaforme di criptovaluta.
Anche in questo caso, l’obiettivo degli aggressori era quello di reindirizzare gli utenti a un sito compromesso dove veniva eseguito uno script di exploit contro la falla di Chrome per installare malware di accesso remoto.
Secondo Google, tuttavia, Chrome non era l’unico obiettivo in questi attacchi, in quanto anche altre piattaforme sono state sfruttate.
“Anche se abbiamo recuperato un RCE di Chrome, abbiamo anche trovato prove in cui gli attaccanti hanno specificamente controllato i visitatori che utilizzano Safari su MacOS o Firefox (su qualsiasi sistema operativo), e li hanno indirizzati a specifici link su server di sfruttamento noti“, ha detto Weidemann.
Nonostante sia un regime solitario e a bassa tecnologia, la Corea del Nord ha promosso una prolifica operazione di hacking che si è specializzata in rapine finanziarie e furto di criptovalute in operazioni che possono aggirare le sanzioni finanziarie per ulteriori aggiornamenti consulta gli speciali della redazione sul tema.
