IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

بهره‌برداری هکر‌های دولتی کره شمالی از آسیب‌پذیری جدید zero-day کروم

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir north korea gov hackers caught sharing chrome zero day 1
شکارچیان بدافزار در گوگل نشانه‌هایی را مشاهده کرده‌اند که نشان می‌دهد هکر‌های دولتی کره شمالی اکسپلویت‌های مرورگر روز صفر (zero-day) را برای استفاده در سری‌های متوالی حملات هدفمند به رسانه‌های خبری، بانک‌های رمزارز و سازمان‌های فناوری اطلاعات آمریکا به کار می‌برند.

بر اساس داده‌های جدید منتشر شده توسط TAG (گروه تحلیل تهدیدات) گوگل، دو گروه متمایز هکر کره شمالی به طور جداگانه از نقص روز صفر یا zero-day مرورگر کروم در کمپین‌های بدافزار سازمان یافته استفاده کرده‌اند.

آسیب‌پذیری کروم مورد بحث (CVE-۲۰۲۲-۰۶۰۹) توسط Google در ماه گذشته پچ شد و این شرکت توصیه امنیتی را برای هشدار درباره بهره‌برداری در فضای سایبری در مور این آسیب‌پذیری روز صفر صادر کرده است.

روز پنجشنبه، غول جستجو این حملات را به گروه‌های هکری تحت حمایت دولت کره شمالی مرتبط دانست و هشدار داد که اولین شواهد حملات به اوایل ژانویه سال جاری بازمی گردد.

آدام وایدمن، محقق گوگل، گفت: "ما گمان می‌کنیم که این گروه‌ها برای یک نهاد با یک زنجیره تأمین مشترک کار می‌کنند، چرا که از کیت بهره‌برداری مشابهی استفاده می‌کنند، اما هر کدام با مجموعه ماموریت‌های متفاوتی عمل می‌کنند و تکنیک‌های متفاوتی را به کار می‌گیرند. این احتمال وجود دارد که مهاجمان دیگر تحت حمایت دولت کره شمالی به همان کیت بهره‌برداری دسترسی داشته باشند".

وایدمن کار خود را برای ردیابی فعالیت APT مستند کرده و اشاره نمود که یک کمپین بیش از ۲۵۰ نفر را هدف قرار داده است که برای ۱۰ رسانه خبری مختلف، ثبت‌کننده‌های دامین، ارائه‌دهندگان هاستینگ وب و فروشندگان نرم‌افزار کار می‌کنند.

او توضیح داد: "اهداف‌ایمیل‌هایی دریافت کردند که ادعا می‌کردند از استخدام‌کنندگان دیزنی، گوگل و اوراکل با فرصت‌های شغلی جعلی هستند. این‌ایمیل‌ها حاوی لینک‌هایی بودند که وب‌سایت‌های ارائه شغل قانونی مانند Indeed و ZipRecruiter را جعل می‌کردند".

اهدافی که روی لینک‌های مخرب جاسازی شده کلیک می‌کنند قربانی دانلود‌های بدافزار مرورگر می‌شوند.

تیم تحقیقاتی گوگل متوجه شد که تیم‌های کره شمالی از یک کیت بهره‌برداری با آی‌فریم‌های مخفی استفاده می‌کنند که در مجموعه‌ای از وب‌سایت‌ها جاسازی شده‌اند. کیت اکسپلویت می‌تواند قبل از راه‌اندازی یک اکسپلویت اجرای کد از راه دور کروم که می‌تواند از sandbox کروم فرار کند، سیستم‌های هدف را قربانی فینگرپرینتینگ کند.

گوگل اعلام کرد که قادر به ثبت هرگونه فعالیت پس از بهره‌برداری نیست و هشدار داد که تیم‌های حمله برای هدف قرار دادن افراد خاص بسیار محتاط بوده و از ترفند‌های فنی برای فیلتر کردن قربانیان احتمالی استفاده می‌کنند.

وایدمن افزود: "اگرچه ما یک کروم RCE را بازیابی کردیم، اما همچنین شواهدی پیدا شده است که در آن مهاجمان به‌طور خاص بازدیدکنندگانی را که از Safari در MacOS یا Firefox (در هر سیستم‌عاملی) استفاده می‌کردند، بررسی می‌کردند و آن‌ها را به لینک‌های خاصی در سرور‌های بهره‌برداری شناخته‌شده هدایت می‌نمودند".

هکر‌های کره شمالی در گذشته با هدف قرار دادن محققان امنیتی و استفاده از یک شرکت تست نفوذ جعلی در کمپین‌های مهندسی اجتماعی دستگیر شده‌اند. شکارچیان تهدید همچنین فعالیت‌های هک کره شمالی را با هدف قرار دادن پلتفرم‌های ارز‌های دیجیتال (رمزارز) شناسایی کرده‌اند.

دولت ایالات متحده هکر‌های مورد حمایت دولت کره شمالی را به عنوان یک دشمن مهم شناسایی کرده است و استراتژی امنیتی "sand-and-friction" را اتخاذ کرده تا هزینه عملیات آن‌ها را افزایش دهد.

برچسب ها: sand-and-friction, ZipRecruiter, Indeed, اسکپلویت, Exploit, Sandbox, فینگرپرینتینگ, fingerprinting, مرورگر, پچ, Browser, TAG, North Korea, RCE, روز صفر, APT, Hacker, گوگل کروم, کروم, macOS, Safari, Oracle, Patch, cybersecurity, رمزارز, Firefox, Google Chrome, هاستینگ, آسیب‌پذیری, Vulnerability, malware, Chrome, کره شمالی, cryptocurrency, Cyber Security, گوگل, هکر, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل