التخطي إلى المحتوى


أعلنت مجموعة تحليل التهديدات التابعة لـ Google  أنها اكتشفت زوجًا من كوادر القرصنة الكورية الشمالية التي تعمل تحت اسم Operation Dream Job و Operation AppleJeus في فبراير والتي كانت تستفيد من استغلال تنفيذ التعليمات البرمجية عن بُعد في متصفح الويب Chrome، وفقا لتقرير engadged .


وبحسب ما ورد استهدفت القاذفات السوداء وسائل الإعلام الأمريكية وتكنولوجيا المعلومات والتشفير وصناعات التكنولوجيا المالية ، مع وجود أدلة على هجماتهم تعود إلى 4 يناير 2022 ، على الرغم من أن مجموعة تحليل التهديدات تشير إلى أن المنظمات خارج الولايات المتحدة يمكن أن تكون أهدافًا أيضًا.


وكتب فريق Google  : “نشك في أن هذه المجموعات تعمل لنفس الكيان مع سلسلة إمداد مشتركة ، ومن ثم استخدام نفس مجموعة أدوات الاستغلال ، لكن كل منها يعمل مع مجموعة مهام مختلفة وتنشر تقنيات مختلفة، ومن المحتمل أن مهاجمين آخرين مدعومين من حكومة كوريا الشمالية لديهم إمكانية الوصول إلى مجموعة أدوات الاستغلال نفسها.”


واستهدفت Operation Dream Job 250 شخصًا عبر 10 شركات بعروض عمل احتيالية من أمثال Disney و Oracle وتم إرسالها من حسابات تم انتحالها لتبدو وكأنها جاءت من إنديد أو ZipRecruiter، وسيؤدى الضغط فوق الارتباط إلى تشغيل إطار iframe مخفى يؤدى إلى حدوث استغلال. 


 


ومن ناحية أخرى ، استهدفت عملية AppleJeus أكثر من 85 مستخدمًا في صناعات العملة المشفرة والتكنولوجيا المالية باستخدام نفس مجموعة الاستغلال. 


 


وتوصل باحثو الأمن فى Google إلى أن هذا الجهد تضمن “المساومة على موقعين شرعيين على الأقل من مواقع شركات التكنولوجيا المالية واستضافة إطارات iframe مخفية لخدمة مجموعة الاستغلال للزوار فى حالات أخرى ، ولاحظنا مواقع ويب مزيفة  تم إنشاؤها بالفعل لتوزيع تطبيقات عملة معماة طروادة تستضيف إطارات iframe وتوجه زوارها إلى مجموعة أدوات الاستغلال.”


 


وقال الفريق: “تخدم المجموعة في البداية بعض جافا سكريبت غامض للغاية يستخدم لبصمة النظام الهدف”. “جمع هذا النص البرمجى جميع معلومات العميل المتاحة مثل وكيل المستخدم والحل وما إلى ذلك ، ثم أرسلها مرة أخرى إلى خادم الاستغلال.


 


وإذا تم استيفاء مجموعة من المتطلبات غير المعروفة ، فسيتم تزويد العميل باستغلال Chrome RCE وبعض المعلومات الإضافية جافا سكريبت إذا كان RCE ناجحًا ، فستطلب جافا سكريبت المرحلة التالية المشار إليها في النص باسم “SBX” ، وهو اختصار شائع لـ Sandbox Escape. “


 


واكتشفت مجموعة أمان Google النشاط في 10 فبراير وقامت بتصحيحه بحلول 14 فبراير، وأضافت الشركة جميع مواقع الويب والنطاقات المحددة إلى قاعدة بيانات التصفح الآمن الخاصة بها وكذلك أبلغت جميع مستخدمي Gmail و Workspace المستهدفين بالمحاولات.