La vulnérabilité Chrome Zero-Day n'est pas corrigée pendant un mois
Les chercheurs en sécurité ont découvert deux campagnes malveillantes distinctes qui exploitaient une vulnérabilité zero-day dans le navigateur Chrome. Les bogues ont été activement exploités dans la nature pendant environ un mois avant l'arrivée du correctif.
Deux groupes, deux attaques
Le groupe d'analyse des menaces de Google a repéré la vulnérabilité début février et Google a publié un correctif quatre jours plus tard, ainsi que le rapport de bogue. La vulnérabilité a été suivie sous le désignateur CVE-2022-0609 et comprenait un problème d'utilisation après libération avec le composant de navigateur responsable de l'animation. La vulnérabilité était déjà activement exploitée dans la nature.
Les chercheurs ont traqué l'activité malveillante liée au bogue avec quelques acteurs de la menace nommés Operation Dream Job et Operation AppleJesus. On pense que ces deux personnes sont des acteurs de la menace nord-coréenne. Les attaques menées par les pirates se concentraient principalement sur des entités américaines d'un certain nombre de secteurs, allant de la cryptographie aux médias. Cependant, les chercheurs n'excluent pas la possibilité que les attaques aient des cibles supplémentaires en dehors des États-Unis.
Même kit d'exploitation, différentes méthodes
Même si les deux acteurs de la menace ont utilisé un seul et même kit d'exploit dans leurs attaques, ils ont utilisé des techniques différentes et ciblé des entités différentes.
Les attaques ont utilisé de faux e-mails d'offre d'emploi contenant des liens malveillants, usurpant des employeurs de haut niveau et hautement désirables. Une fois que la victime clique sur le lien malveillant dans le but de voir la fausse offre d'emploi complète, le navigateur charge une iframe invisible, qui à son tour déploie le kit d'exploitation.
AppleJesus s'est concentré sur différentes cibles, travaillant principalement dans la crypto et la finance. Le kit d'exploitation utilisé dans l'attaque était le même.
Les iframes étaient hébergées sur des pages qui étaient soit exploitées et détenues par les acteurs de la menace, soit sur des pages de sites Web que les pirates avaient précédemment compromis avec succès et pouvaient héberger les éléments malveillants sur celles-ci.
Le problème a été corrigé, mais cela laisse encore le problème pendant plusieurs semaines que les acteurs de la menace auraient pu exploiter la vulnérabilité parmi les systèmes exécutant les versions non corrigées de Chrome.