Chromeのゼロデイ脆弱性が1か月間パッチされない

セキュリティ研究者は、Chromeブラウザのゼロデイ脆弱性を悪用している2つの別々の悪意のあるキャンペーンを発見しました。パッチが到着する前の約1か月間、バグは実際に積極的に悪用されていました。

2つのグループ、2つの攻撃

グーグル自身の脅威分析グループは2月初旬に脆弱性を発見し、グーグルはバグレポートとともにわずか4日後にそのパッチをリリースしました。この脆弱性は、指定子CVE-2022-0609の下で追跡され、アニメーションを担当するブラウザーコンポーネントの解放後使用の問題で構成されていました。この脆弱性は、すでに実際に悪用されています。

研究者は、Operation DreamJobとOperationAppleJesusという名前の2人の脅威アクターを使用して、バグに関連する悪意のあるアクティビティを追跡しました。それらの両方が北朝鮮の脅威アクターであると信じられています。ハッカーによって実行された攻撃は、主に、暗号通貨からメディアアウトレットに至るまで、多くのセクターの米国のエンティティに集中していました。ただし、研究者は、攻撃が米国外で追加の標的を持っていた可能性を排除していません。

同じエクスプロイトキット、異なる方法

2人の脅威アクターは、攻撃に1つの同じエクスプロイトキットを使用しましたが、異なる手法を使用し、異なるエンティティを標的にしました。

偽の求人メールを使用した攻撃では、悪意のあるリンクが含まれており、知名度が高く、非常に望ましい雇用主になりすましています。被害者が完全な偽の求人を確認するために悪意のあるリンクをクリックすると、ブラウザは非表示のiframeをロードし、エクスプロイトキットを展開します。

AppleJesusは、主に暗号通貨と金融で働くさまざまなターゲットに焦点を当てました。攻撃で使用されたエクスプロイトキットは同じでした。

iframeは、攻撃者によって操作および所有されているページ、またはハッカーが以前に正常に侵害し、悪意のある要素をホストする可能性のあるWebサイトのページでホストされていました。

この問題にはパッチが適用されていますが、パッチが適用されていないバージョンのChromeを実行しているシステム間で、脅威の攻撃者がこの脆弱性を利用できた可能性があるという問題が数週間にわたって残っています。