Google تحبط التهديدات الإلكترونية لكوريا الشمالية

سعد ركان25 مارس، 2022

0 دقيقة واحدة

أعلن فريق Google Threat Intelligence Team أنه اكتشف في فبراير مجموعتين من المهاجمين المدعومين من حكومة كوريا الشمالية الذين استغلوا ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في متصفح الويب Chrome.

تمت مراقبة نشاط هذه المجموعات بشكل علني من قبل كل من عملية Dreamcatcher و Operation AppleJeus.

تستهدف هذه المجموعات وسائل الإعلام الأمريكية وتكنولوجيا المعلومات والتشفير والشركات المالية ، وهناك أدلة على أن هجماتها تعود إلى 4 يناير 2022.

يلاحظ فريق تحليل التهديدات أن المنظمات خارج الولايات المتحدة يمكن أن تكون أهدافًا أيضًا.

نشك في أن هذه المجموعات تدير نفس المؤسسة بسلسلة توريد مشتركة ثم تستخدم نفس مجموعة أدوات الاستغلال ، كما كتب فريق Google. لكن كل منها يعمل مع مجموعة مختلفة من المهام ويستخدم تقنيات مختلفة. من المحتمل أن المهاجمين الآخرين المدعومين من حكومة كوريا الشمالية يمكنهم الوصول إلى نفس مجموعة أدوات الاستغلال.

استهدفت عملية DreamWorks 250 شخصًا في 10 شركات بعروض عمل احتيالية مثل Disney و Oracle.

تم إرسالها من حسابات احتيالية لتبدو وكأنها جاءت من إنديد أو ZipRecruiter. يؤدي النقر فوق الارتباط إلى تشغيل إطار iframe مخفي يستدعي الاستغلال.

Google تحبط التهديدات الإلكترونية لكوريا الشمالية Google

Google و كوريا الشامالية

تعمل Google على حماية مستخدميها

من ناحية أخرى ، استهدفت عملية AppleJeus أكثر من 85 مستخدمًا للتشفير والتكنولوجيا المالية باستخدام نفس مجموعة الاستغلال.

وجد باحثو الأمن في Google أن هذه الجهود تضمنت اختراق موقعين شرعيين على الأقل من مواقع التكنولوجيا المالية ووضع إطارات iframe مخفية لاستهداف الزوار.

في حالات أخرى ، لاحظ الباحثون أيضًا مواقع ويب مزيفة تستضيف إطارات iframe وتوجه زوارها إلى مجموعة أدوات استغلال.

قال الفريق: قام البرنامج النصي بجمع كل المعلومات المتوفرة عن العميل ثم إرسالها إلى خادم الاستغلال. إذا تم استيفاء عدد من المتطلبات غير المعروفة ، فسيتم تقديم برنامج استغلال Chrome للعميل وبعض إرشادات JavaScript الإضافية. في حالة نجاح الاستغلال ، تطلب تعليمات JavaScript الخطوة التالية ، والتي تسمى SBX في البرنامج النصي.

اكتشف فريق أمان Google هذا النشاط في 10 فبراير وتم إصلاحه بحلول 14 فبراير. أضافت الشركة جميع مواقع الويب والنطاقات المحددة إلى قاعدة بيانات التصفح الآمن الخاصة بها ، وأخطرت جميع مستخدمي Gmail و Workspace المستهدفين بالمحاولات.