أعلن قالت مجموعة تحليل التهديدات التابعة لـ Google في فبراير إنها اكتشفت مجموعتين من المهاجمين المدعومين من حكومة كوريا الشمالية يستغلون ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في متصفح الويب Chrome.
تم تتبع نشاط هذه المجموعات علنًا باسم عملية Dreamcatcher و Operation AppleJeus.
استهدفت هذه المجموعات وسائل الإعلام الأمريكية وتكنولوجيا المعلومات والتشفير وشركات التكنولوجيا المالية، مع أدلة على أن هجماتها تعود إلى 4 يناير 2022.
تلاحظ مجموعة تحليل التهديدات أن المنظمات خارج الولايات المتحدة يمكن أن تكون أهدافًا أيضًا.
كتب فريق Google أننا نشك في أن هذه المجموعات تدير نفس الكيان بسلسلة توريد مشتركة، ثم تستخدم نفس مجموعة أدوات الاستغلال. لكن كل منها يعمل مع مجموعة مهام مختلفة وينشر تقنيات مختلفة. من المحتمل أن مهاجمين آخرين مدعومين من حكومة كوريا الشمالية يمكنهم الوصول إلى نفس مجموعة الأدوات الاستغلالية.
استهدفت عملية DreamWorks 250 شخصًا عبر 10 شركات بعروض عمل احتيالية مثل Disney و Oracle.
تم إرسالها من حسابات الاحتيال لتبدو وكأنها جاءت من إنديد أو ZipRecruiter. يؤدي النقر فوق الارتباط إلى تشغيل إطار iframe مخفي يتسبب في الاستغلال.
تعمل Google على حماية مستخدميها
من ناحية أخرى، استهدفت عملية AppleJeus أكثر من 85 مستخدمًا في صناعات العملة المشفرة والتكنولوجيا المالية باستخدام نفس مجموعة الاستغلال.
وجد باحثو الأمن في Google أن هذه الجهود تضمنت اختراق موقعين شرعيين على الأقل من مواقع التكنولوجيا المالية واستضافة إطارات iframe مخفية من أجل استهداف الزوار.
في حالات أخرى، لاحظ الباحثون أيضًا مواقع ويب مزيفة تستضيف إطارات iframe وتوجه زوارها إلى مجموعة أدوات الاستغلال.
قال الفريق قام البرنامج النصي بجمع جميع معلومات العميل المتاحة ثم إرسالها إلى خادم الاستغلال. إذا تم استيفاء مجموعة من المتطلبات غير المعروفة، فسيتم تزويد العميل باستغلال Chrome وبعض إرشادات JavaScript الإضافية. إذا نجح الاستغلال، فإن تعليمات JavaScript تطلب المرحلة التالية المشار إليها في البرنامج النصي باسم SBX.
تم اكتشاف النشاط من قبل مجموعة الأمان في Google في 10 فبراير وتم تصحيحه بحلول 14 فبراير. أضافت الشركة جميع مواقع الويب والنطاقات المحددة إلى قاعدة بيانات التصفح الآمن الخاصة بها، كما أبلغت جميع مستخدمي Gmail و Workspace المستهدفين بالمحاولات.