Google: إحباط الهجمات الإلكترونية لكوريا الشمالية أوائل عام 2022 .. تفاصيل

أعلنت مجموعة تحليل التهديدات التابعة لـ Google أنها اكتشفت زوجًا من كوادر القرصنة الكورية الشمالية التي تعمل تحت اسم Operation Dream Job و Operation AppleJeus في فبراير / شباط ، وكانا يستفيدان من استغلال تنفيذ التعليمات البرمجية عن بُعد في متصفح الويب Chrome ، وفقًا لتقرير غارق. وبحسب ما ورد استهدفت القاذفات السوداء وسائل الإعلام الأمريكية وتكنولوجيا المعلومات والعملات الرقمية وصناعات التكنولوجيا المالية ، مع وجود أدلة على هجماتهم تعود إلى 4 يناير 2022 ، على الرغم من أن مجموعة تحليل التهديدات تشير إلى أن المنظمات خارج الولايات المتحدة يمكن أن تكون أهدافًا أيضًا. كتب فريق Google: “نشك في أن هذه المجموعات تعمل لنفس الكيان بسلسلة توريد مشتركة ، وبالتالي تستخدم نفس مجموعة أدوات الاستغلال ، ولكن كل منها تعمل مع مجموعة مهام مختلفة وتنشر تقنيات مختلفة. الوصول إلى نفس مجموعة أدوات الاستغلال. “استهدفت عملية Dream Job 250 شخصًا عبر 10 شركات بعروض عمل احتيالية مثل Disney و Oracle المرسلة من حسابات تم انتحالها لتبدو وكأنها جاءت من إنديد أو ZipRecruiter. سيؤدي النقر على الرابط إلى تشغيل إطار iframe مخفي هذا يؤدي إلى الاستغلال. من ناحية أخرى ، استهدفت عملية AppleJeus أكثر من 85 مستخدمًا في صناعات العملة المشفرة والتكنولوجيا المالية باستخدام نفس مجموعة الاستغلال. خلص باحثو الأمن في Google إلى أن هذا الجهد ينطوي على “اختراق موقعين شرعيين على الأقل من مواقع fintech واستضافة مواقع مخفية تستخدم إطارات iframes لخدمة مجموعة الاستغلال للزوار في حالات أخرى ، وقد لاحظنا إنشاء مواقع ويب مزيفة لتوزيع تطبيقات عملة طروادة المشفرة التي تستضيف إطارات iframe وتوجه زوارها إلى مجموعة أدوات الاستغلال “. قال الفريق: “تقدم المجموعة في البداية بعض جافا سكريبت الغامض للغاية والذي يستخدم لبصمة النظام الهدف”. “يجمع هذا البرنامج النصي جميع معلومات العميل المتاحة مثل وكيل المستخدم والحل وما إلى ذلك ، ثم يرسلها مرة أخرى إلى خادم الاستغلال. إذا تم استيفاء مجموعة من المتطلبات غير المعروفة ، فسيتم تزويد العميل باستغلال Chrome RCE وبعض معلومات JavaScript الإضافية في حالة نجاح RCE ، وسيطلب JavaScript المرحلة التالية المشار إليها في النص باسم “SBX” ، وهو اختصار شائع من أجل Sandbox Escape “. تم اكتشاف النشاط من قبل مجموعة أمان Google في 10 فبراير وتم تصحيحه بحلول 14 فبراير ، وأضافت الشركة جميع مواقع الويب والنطاقات المحددة إلى قاعدة بيانات التصفح الآمن الخاصة بها ، كما أبلغت جميع مستخدمي Gmail و Workspace المستهدفين بالمحاولات.