Google hat bestätigt, dass es eine schwerwiegende Sicherheitslücke in seinem Internetbrowser Chrome behoben hat, die es böswilligen Akteuren ermöglichte, Menschen auszuspionieren und möglicherweise die Kontrolle über deren Geräte zu übernehmen.
In einem Blogbeitrag behauptete Adam Weidemann von der Threat Analysis Suite von Google, dass die Schwachstelle seit dem XNUMX. Januar von zwei verschiedenen Cyberkriminalitätseinheiten ausgenutzt worden sei.
Diese beiden Gruppen sind als Operation Dream Job und Operation AppleJeus bekannt und sollen enge Verbindungen zur nordkoreanischen Regierung haben.
saubere Spuren
Laut Google nutzten die beiden Sets genau die gleiche Sicherheitslücke, ihr Ansatz und ihre Ziele unterscheiden sich jedoch. Das Unternehmen sagt, dass sich Operation Dream Job an Leute richtete, die bei großen Nachrichtenorganisationen, Domain-Registraren, Hosting-Anbietern und Software-Distributoren arbeiten, Operation AppleJeus hingegen an Leute in der Fintech-Kryptowährungs- und Gaming-Branche.
Auch ihre Methoden waren unterschiedlich. Erstere akzeptierten die Identität von Personalvermittlern, reichten gefälschte Bewerbungen für Stellen bei Google, Oracle oder Disney ein und verteilten Links zu Websites, die Indeed, ZipRecruiter oder DisneyCareers nachahmten.
Diese Websites wurden mit einem versteckten Iframe geladen, der den Fehler ausnutzen und die Ausführung versteckten Codes ermöglichen würde.
Letztere wiederum taten dasselbe, indem sie gefälschte Websites erstellten, aber auch die legitimen Websites kompromittiert und die waffenfähigen Iframes auch auf ihnen installiert haben.
Wissenschaftler behaupten auch, dass die Sets ihre Spuren nach getaner Arbeit gut verwischen konnten. Wenn es ihnen gelingt, den Code aus der Ferne auszuführen, werden sie versuchen, mehr Zugriff auf den Zielendpunkt zu erhalten, und anschließend versuchen, alle Spuren seiner Existenz zu entfernen.
„Um ihre Exploits zu schützen, bauten die Angreifer mehrere Schutzmaßnahmen ein, um zu verhindern, dass Sicherheitsteams eine der Phasen wiederherstellen“, schreibt Weidemann.
Google behauptet, dass die Angreifer dafür sorgen würden, dass die Iframes „nur zu bestimmten Zeiten“ erscheinen und dass die Opfer eindeutige Links erhalten würden, die nach der Aktivierung ablaufen würden. Jede Phase des Angriffs wurde mit dem AES-Algorithmus verschlüsselt, und wenn eine der Phasen fehlschlug, wurde der gesamte Vorgang gestoppt.
Die Sicherheitslücke wurde am XNUMX. Februar behoben.
Über: Die Registrierung