Le groupe d’analyse des menaces de Google a annoncé jeudi qu’il avait découvert une paire de cadres de piratage nord-coréens sous les noms d’Operation Dream Job et d’Operation AppleJeus en février qui exploitaient un exploit d’exécution de code à distance dans le navigateur Web Chrome.
Les blackhatters auraient ciblé les médias américains, les industries de l’informatique, de la crypto et de la fintech, avec des preuves de leurs attaques remontant au 4 janvier 2022, bien que le Threat Analysis Group note que des organisations en dehors des États-Unis auraient également pu être ciblées.
« Nous soupçonnons que ces groupes travaillent pour la même entité avec une chaîne d’approvisionnement partagée, d’où l’utilisation du même kit d’exploit, mais chacun opère avec un ensemble de missions différent et déploie des techniques différentes », a écrit l’équipe de Google jeudi. « Il est possible que d’autres attaquants soutenus par le gouvernement nord-coréen aient accès au même kit d’exploitation. »
Opération Emploi de Rêve a ciblé 250 personnes dans 10 entreprises avec des offres d’emploi frauduleuses de Disney et Oracle envoyées à partir de comptes usurpés pour donner l’impression qu’ils provenaient d’Indeed ou de ZipRecruiter. Cliquer sur le lien lancerait un iframe caché qui déclencherait l’exploit.
Opération AppleJeus, d’autre part ciblait plus de 85 utilisateurs dans les secteurs de la crypto-monnaie et de la technologie financière utilisant le même kit d’exploit. Cet effort impliquait « de compromettre au moins deux sites Web légitimes de sociétés de technologie financière et d’héberger des iframes cachés pour fournir le kit d’exploitation aux visiteurs », ont découvert les chercheurs en sécurité de Google. « Dans d’autres cas, nous avons observé de faux sites Web – déjà configurés pour distribuer des applications de crypto-monnaie trojanisées – hébergeant des iframes et pointant leurs visiteurs vers le kit d’exploit. »
« Le kit sert initialement du javascript fortement obscurci utilisé pour identifier le système cible », a déclaré l’équipe. « Ce script a collecté toutes les informations client disponibles telles que l’agent utilisateur, la résolution, etc., puis les a renvoyées au serveur d’exploitation. Si un ensemble d’exigences inconnues était satisfait, le client recevrait un exploit Chrome RCE et quelques autres javascript. Si le RCE réussissait, le javascript demanderait l’étape suivante référencée dans le script comme « SBX », un acronyme courant pour Sandbox Escape. »
Le groupe de sécurité de Google a découvert l’activité le 10 février et l’a corrigée le 14 février. La société a ajouté tous les sites Web et domaines identifiés à sa base de données de navigation sécurisée et a informé tous les utilisateurs ciblés de Gmail et Workspace des tentatives.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.