La cybersécurité fait presque toujours l’actualité en raison de l’évolution des menaces d’acteurs malveillants, ainsi que des organisations de défense mises en place pour lutter contre ces problèmes. Google a publié aujourd’hui un avertissement indiquant que des pirates nord-coréens parrainés par l’État tentent d’exploiter des vulnérabilités – désormais corrigées – dans Chrome.
Google Threat Intelligence Group (TAG) rapporte que le 4 janvier 2022, il a remarqué le déploiement d’un kit d’exploitation dans Chrome. Puis, le 10 février, il a suivi l’activité de deux groupes soutenus par la Corée du Nord qui exploitaient également le même problème. Les cibles étaient principalement les publications américaines d’actualité, d’informatique, de crypto-monnaie et de fintech. Google a corrigé avec succès la vulnérabilité le 14 février. Étant donné que les attaquants utilisaient tous le même kit d’exploitation, TAG a émis l’hypothèse qu’ils pourraient tous utiliser la même chaîne d’approvisionnement en logiciels malveillants, et il est possible que d’autres attaquants nord-coréens aient accès à des outils communs. trop.
Google affirme que les médias ont reçu des e-mails de pirates se faisant passer pour des recruteurs de Disney, Google et Oracle. Les e-mails contenaient des liens vers de faux sites qui étaient des doublons de portails de recrutement tels que ZipRecruiter et Indeed. Pendant ce temps, les sociétés de technologie financière et de crypto-monnaie ont reçu des liens vers des sites Web infectés appartenant à des sociétés de technologie financière légitimes. Toute personne qui clique sur le lien obtiendra une iframe cachée qui déclenchera un exploit.
En termes de ce que l’exploit a réellement fait, voici un résumé :
Le kit sert nativement le javascript hautement obscurci utilisé pour identifier le système cible. Ce script a collecté toutes les informations disponibles sur le client telles que l’agent utilisateur, les autorisations, etc., puis les a renvoyées au serveur d’exploitation. Si un ensemble d’exigences inconnues a été satisfait, le client recevra un exploit Chrome RCE et du javascript supplémentaire. Si le RCE a réussi, le javascript demandera l’étape suivante, spécifiée dans le script comme « SBX », qui est l’abréviation de Sandbox Escape. Malheureusement, nous n’avons pu récupérer aucun des jalons qui ont suivi le RCE d’origine.
Les attaquants ont également utilisé plusieurs méthodes sophistiquées pour cacher leurs activités. Cela comprenait l’ouverture de l’iframe uniquement dans les plages horaires pendant lesquelles ils s’attendaient à ce que la cible visite le site Web, des URL uniques dans les liens pour les implémentations à clic unique, un cryptage basé sur AES pendant les phases d’exploitation et l’atomicité du pipeline d’exploitation.
Alors que Google a corrigé la vulnérabilité d’exécution de code à distance (RCE) dans Chrome le 14 février, il espère qu’en partageant ces détails, il pourra encourager les utilisateurs à mettre à jour leur navigateur pour obtenir les dernières mises à jour de sécurité et activer la navigation sécurisée améliorée de Chrome. Les indicateurs partagés de compromission (IoC) peuvent également aider d’autres entreprises et leur personnel à se protéger d’activités similaires. Tous ceux qui ont été ciblés par des attaquants nord-coréens au cours des deux derniers mois ont déjà été informés.
Laisser un commentaire