Nordkoreanische Cyberkriminelle greifen Sicherheitslücke in Chrome an
Um in ihre Rechner einzubrechen, haben nordkoreanische Angreifer Opfer auf fingierte Webseiten gelockt, die eine Sicherheitslücke in Google Chrome missbrauchen.
(Bild: Jiri Flogel/Shutterstock.com)
Nordkoreanische staatlich gestützte Cybergangs haben Anfang Februar eine Sicherheitslücke in Google Chrome in ihr Exploit-Toolkit aufgenommen und damit unter anderem Medien-, IT-, Kryptowährungs- und Fintech-Unternehmen angegriffen. Google hat die Sicherheitslücke Mitte Februar geschlossen. Die Threat Analysis Group (TAG) des Unternehmens hat nun Untersuchungsergebnisse zu den Vorfällen vorgestellt.
Die Forscher konnten erste Angriffe auf die Sicherheitslücke in ihrem Datenfundus rückblickend bereits am 04. Januar dieses Jahres ausmachen. Aufmerksam wurden sie darauf am 10. Februar, als sie unabhängige Attacken von zwei unterschiedlichen nordkoreanischen Cybergangs auf die Sicherheitslücke mit dem CVE-Eintrag CVE-2022-0609 feststellten. Angreifer konnten durch die Use-after-free-Schwachstelle in der Chrome-Komponente Animation Schadcode aus der Ferne einschleusen und ausführen.
Gemeinsame Strippenzieher
Die beiden Kampagnen verfolgten die Sicherheitsforscher unter den Codenamen Operation Dream Job und Operation AppleJeus. Da sie zwar unterschiedliche Ziele und Angriffstechniken, aber dasselbe Exploit-Kit verwendet haben, gehen die Google-Analysten von einer koordinierenden, übergeordneten Instanz mit einer gemeinsamen Lieferkette aus.
Bei der Kampagne Operation Dream Job hat die Cybergang mehr als 250 Personen ins Visier genommen, die für zehn unterschiedliche Medienunternehmen, Domain-Registrare, Web-Hosting-Provider und Softwareanbieter arbeiten. Die potenziellen Opfer erhielten E-Mails, die vorgeblich von Personalern bei Disney, Google und Oracle stammten und gefälschte Job-Angebote enthielten.
(Bild: Google-Blog (https://blog.google/threat-analysis-group/))
Die Mails enthielten zudem Links auf gefälschte Webseiten, die Angebote wie Indeed und ZipRecruiter imitierten. Klickte eines der Opfer auf die Links, bekam es einen versteckten iframe ausgeliefert, der das Exploit-Kit startete.
Finanzwesen im Fokus
Die zweite kriminelle Vereinigung knöpfte sich bei der Operation-AppleJeus-Kampagne 85 Mitarbeiter in Kryptowährungs- und Fintech-Organisationen vor. In zwei legitime Fintech-Webseiten konnten die Angreifer einbrechen und darüber das gleiche Exploit-Kit ausliefern wie in Operation Dream Job. Aber auch hier fanden Googles Forscher gefälschte Webseiten mit den versteckten iframes sowie zusätzlich darauf angebotener trojanisierter Kryptowährungs-Software, die von vergleichsweise wenigen Virenscannern (22 von 57) entdeckt wurde.
(Bild: Google-Blog (https://blog.google/threat-analysis-group/))
Das Exploit-Kit selber wird derzeit von noch weniger Antivirenprodukten erkannt, zum Zeitpunkt der Meldung sind es gerade einmal acht Scanner auf virustotal. Es lieferte den TAG-Forschern zufolge zunächst stark verschleiertes JavaScript aus, das das Zielsystem untersucht und Informationen wie User-Agent, Auflösung und weitere an den Exploit-Server liefert. Wurden einige, nicht bekannte, Bedingungen erfüllt, lieferte der Server den Google-Chrome-Exploit mit weiterem JavaScript aus. War der Exploit erfolgreich, versuchte er die nächste Stufe des Exploits im JavaScript namens SBX zu starten, ein laut der Google-Forscher übliches Kürzel für Sandbox Escape.
Schwierige Untersuchungen
Die Sicherheitsforscher konnten zu ihrem Bedauern jedoch keine der folgenden Stufen genauer analysieren. Die angreifenden Cybergangs gehen sehr vorsichtig vor. So wurden die iframes nur zu bestimmten Zeiten ausgeliefert. In einigen E-Mail-Kampagnen enthielten die Links einzigartige IDs, die möglicherweise dazu genutzt wurden, dass ein Link nur genau einmal beim ersten Aufruf Schadcode ausliefert. Das Exploit-Kit hat jede Stufe mit Session-gebundenem Schlüssel AES-verschlüsselt, einschließlich der Client-Antworten. Schließlich wurden nachfolgende Stufen nur ausgeliefert, wenn die vorherige nicht fehlschlug.
Zwar haben die Analysten eine Sicherheitslücke in Chrome bei der Untersuchung entdeckt. Sie haben jedoch weitere Hinweise gefunden, dass die Angreifer prüften, ob die Seitenbesucher Safari unter MacOS oder Firefox unter beliebigem Betriebssystem nutzten. Je nach Browser lieferten sie spezielle Links auf bekannte Exploit-Server aus.
Die Google-Forscher weisen darauf hin, dass die Angreifer noch Tage nach der Verfügbarkeit des Sicherheitsupdates versucht haben, die Schwachstelle in Chrome zu missbrauchen. Dies ist ein deutlicher Hinweis, dass das zeitnahe Installieren von Sicherheitsupdates sehr wichtig ist.
Themenseite zu Cybercrime auf heise online
(dmk)
