De Threat Analysis Group (TAG) van Google heeft donderdag bekendgemaakt dat het actie heeft ondernomen om de bedreigingen te verminderen van twee verschillende door de overheid gesteunde aanvallersgroepen in Noord-Korea die misbruik maakten van een onlangs ontdekte fout in de uitvoering van externe code in de Chrome-webbrowser.
De campagnes, die opnieuw “een weerspiegeling zijn van de directe zorgen en prioriteiten van het regime”, zouden gericht zijn geweest op in de VS gevestigde organisaties die zich uitstrekken over nieuwsmedia, IT, cryptocurrency en fintech-industrieën, waarbij één reeks activiteiten directe infrastructuuroverlappingen deelt met eerdere aanvallen gericht bij beveiligingsonderzoekers vorig jaar.
De kwetsbaarheid in kwestie is CVE-2022-0609, een ‘use-after-free’-kwetsbaarheid in de animatiecomponent van de browser die Google heeft aangepakt als onderdeel van updates (versie 98.0.4758.002) die op 14 februari 2022 zijn uitgegeven. Het is ook de eerste zero-day fout verholpen door de tech-gigant sinds het begin van 2022.
“Het vroegste bewijs dat we hebben dat deze exploitkit actief wordt ingezet, is 4 januari 2022”, Google TAG-onderzoeker Adam Weidemann zei in een rapport. “We vermoeden dat deze groepen voor dezelfde entiteit werken met een gedeelde toeleveringsketen, vandaar het gebruik van dezelfde exploitkit, maar elk met een andere missieset en verschillende technieken inzetten.”
De eerste campagne, consistent met TTP’s die verband houden met wat het Israëlische cyberbeveiligingsbedrijf ClearSky omschreef als “Operatie Droombaan” in augustus 2020, was gericht tegen meer dan 250 personen die voor 10 verschillende nieuwsmedia, domeinregistreerders, webhostingproviders en softwareleveranciers werkten, en lokten hen met valse vacatures van bedrijven als Disney, Google en Oracle.
Het gebruik van nep-vacatures is een beproefde tactiek van de Lazarus-groep, die eerder in januari werd gevonden als het Amerikaanse wereldwijde beveiligings- en ruimtevaartbedrijf Lockheed Martin om malware-payloads te distribueren naar personen die op zoek zijn naar banen in de ruimtevaart- en defensie-industrie .
“Het dubbele scenario van spionage en gelddiefstal is uniek voor Noord-Korea, dat inlichtingendiensten exploiteert die zowel informatie als geld stelen voor hun land”, merkten ClearSky-onderzoekers destijds op.
Het tweede activiteitencluster waarvan wordt aangenomen dat het dezelfde Chrome-zero-day heeft gebruikt, heeft betrekking op Operatie AppleJeus, die ten minste twee legitieme websites van fintech-bedrijven in gevaar bracht om de exploit aan niet minder dan 85 gebruikers te verstrekken.
De exploit kitvolgens Google TAG, is gevormd als een meertraps infectieketen waarbij de aanvalscode wordt ingebed in verborgen internetframes op zowel gecompromitteerde websites als frauduleuze websites die onder hun controle staan.
“In andere gevallen zagen we nepwebsites – die al waren opgezet om trojanized cryptocurrency-applicaties te verspreiden – hosting iframes en hun bezoekers naar de exploitkit te wijzen’, zei Weidemann.
De eerste fase omvatte een verkenningsfase om vingerafdrukken te maken van de beoogde machines, gevolgd door het bedienen van de remote code execution (RCE) exploit, die, wanneer succesvol, leidde tot het ophalen van een pakket in de tweede fase dat ontworpen was om uit de sandbox te ontsnappen en verdere activiteiten na de exploitatie.
Google TAG, die de campagnes op 10 februari ontdekte, merkte op dat het “geen van de fasen die volgden op de initiële RCE kon herstellen”, en benadrukte dat de bedreigingsactoren gebruik maakten van verschillende waarborgen, waaronder het gebruik van AES-codering, expliciet ontworpen om hun sporen te verdoezelen en het herstel van tussenstadia te belemmeren.
Bovendien controleerden de campagnes op bezoekers die niet op Chromium gebaseerde browsers gebruiken, zoals Safari op macOS of Mozilla Firefox (op elk besturingssysteem), waarbij de slachtoffers werden doorverwezen naar specifieke links op bekende exploitatieservers. Het is niet meteen duidelijk of een van die pogingen vruchtbaar was.
De bevindingen komen als threat intelligence-bedrijf Mandiant in kaart gebracht verschillende Lazarus-subgroepen aan verschillende overheidsorganisaties in Noord-Korea, waaronder het Reconnaissance General Bureau, het United Front Department (UFD) en het ministerie van Staatsveiligheid (MSS).
Lazarus is de overkoepelende bijnaam die collectief verwijst naar spionageoperaties die afkomstig zijn van het zwaar gesanctioneerde kluizenaarsrijk, op dezelfde manier Winnti en MuddyWater functioneren als een conglomeraat van meerdere teams om de geopolitieke en nationale veiligheidsdoelstellingen van China en Iran te helpen bevorderen.
“Het inlichtingenapparaat van Noord-Korea beschikt over de flexibiliteit en veerkracht om cybereenheden te creëren op basis van de behoeften van het land”, aldus de onderzoekers van Mandiant. “Bovendien geven overlappingen in infrastructuur, malware en tactieken, technieken en procedures aan dat er gedeelde bronnen zijn tussen hun cyberactiviteiten.”
