Grup Analisis Ancaman Google (TAG) mengumumkan pada bulan Februari bahwa mereka menemukan dua kelompok peretasan Korea Utara, Operation Dream Job dan Operation Apple Jeus.
Kedua kelompok peretas diduga mengeksploitasi kerentanan eksekusi kode jarak jauh (REC) di browser web Chrome. Target utamanya adalah media online, IT, cryptocurrency dan outlet FinTech di Amerika Serikat (AS).
Namun, Google berhasil menambal kerentanan pada 14 Februari. Mengingat fakta bahwa semua penyerang menggunakan kit eksploit yang sama, TAG mungkin berbagi rantai pasokan malware yang sama dengan semua penyerang, serta penyerang Korea Utara lainnya. Saya kira Anda mungkin memiliki akses ke alat tersebut.
"Penyerang lain yang didukung pemerintah Korea Utara mungkin telah memperoleh eksploitasi yang sama," kata Google.
Diluncurkan Engadget pada hari Jumat, 25 Maret, Operation Dream Job menargetkan 250 karyawan dari 10 perusahaan seperti Disney dan Oracle, mengirimkan pekerjaan palsu dari akun palsu yang tampaknya berasal dari Indeed atau ZipRecruiter.
Sementara itu, Operation Apple Jeus menggunakan exploit kit yang sama untuk menargetkan lebih dari 85 pengguna di industri crypto dan fintech. Pekerjaan ini mencakup situs web dari setidaknya dua perusahaan fintech yang sah, yang menghosting iframe tersembunyi untuk mengirimkan kit eksploit kepada pengunjung.
Penyerang juga menggunakan beberapa metode canggih untuk menyembunyikan aktivitas mereka. Ini termasuk membuka iframe hanya saat target mengunjungi situs web, URL unik dalam tautan yang diterapkan sekali klik, enkripsi berbasis AES pada langkah eksploitasi, dan atomitas jalur eksploitasi meningkat.
"Dalam contoh lain, kami mengamati situs web palsu yang dihosting di iframe oleh kuda Trojan dan dikonfigurasi untuk mendistribusikan aplikasi cryptocurrency yang mengarahkan pengunjung ke kit exploit," jelas Google.
Google menjelaskan bahwa toolkit pertama kali menyediakan JavaScript yang sangat dikaburkan untuk membuat sidik jari dari sistem target.
"Skrip mengumpulkan semua informasi klien yang tersedia seperti agen pengguna, solusi, dll. dan mengirimkannya kembali ke server eksploit. Jika serangkaian persyaratan yang tidak diketahui terpenuhi, klien akan diberikan eksploit ChromeRCE dan beberapa lainnya. JavaScript tambahan akan diberikan disediakan, "kata Google.
"Jika RCE berhasil, JavaScript akan meminta skrip untuk merujuk ke tahap berikutnya dari SBX, akronim umum untuk Sandbox Escape."
Google berharap dengan membagikan detail ini, kami dapat mendorong pengguna untuk menyegarkan browser mereka untuk menerima pembaruan keamanan terbaru dan mengaktifkan penjelajahan aman yang ditingkatkan di Chrome.