أعلنت مجموعة تحليل التهديدات التابعة لشركة جوجل أنها اكتشفت في شهر فبراير مجموعتين من المهاجمين المدعومين من الحكومة الكورية الشمالية تستغلان ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في متصفح الويب كروم.
وتم تتبع نشاط هذه المجموعات علنًا باسم عملية Dream Dream و عملية AppleJeus.
واستهدفت هذه المجموعات وسائل الإعلام الأمريكية وشركات تكنولوجيا المعلومات والتشفير والتكنولوجيا المالية، مع وجود أدلة على أن هجماتهم تعود إلى 4 يناير 2022
وتشير مجموعة تحليل التهديدات إلى أن المنظمات خارج الولايات المتحدة يمكن أن تكون أهدافًا أيضًا.
وكتب فريق جوجل: نشك في أن هذه المجموعات تعمل لنفس الكيان مع سلسلة إمداد مشتركة، ومن ثم استخدام نفس مجموعة أدوات الاستغلال. ولكن كل منها يعمل مع مجموعة مهام مختلفة وتنشر تقنيات مختلفة. ومن المحتمل أن مهاجمين آخرين مدعومين من حكومة كوريا الشمالية لديهم إمكانية الوصول إلى مجموعة أدوات الاستغلال نفسها.
واستهدفت عملية Dream Dream نحو 250 شخصًا عبر 10 شركات بعروض عمل احتيالية من أمثال ديزني وأوراكل.
وتم إرسالها من حسابات مخادعة لكي تبدو وكأنها جاءت من Indeed أو ZipRecruiter. ويؤدي النقر فوق الارتباط إلى تشغيل إطار iframe مخفي يؤدي إلى حدوث استغلال.
جوجل تعمل على حماية مستخدميها
من ناحية أخرى، استهدفت عملية AppleJeus أكثر من 85 مستخدمًا في صناعات العملة المشفرة والتكنولوجيا المالية باستخدام نفس مجموعة الاستغلال.
ووجد الباحثون الأمنيون في جوجل أن هذا الجهد تضمن اختراق موقعين شرعيين على الأقل من مواقع شركات التكنولوجيا المالية واستضافة إطارات iframe مخفية من أجل استهداف الزوار.
كما لاحظ الباحثون في حالات أخرى وجود مواقع ويب مزيفة تستضيف إطارات iframe وتوجه زوارها إلى مجموعة أدوات الاستغلال.
وقال الفريق: جمع النص البرمجي جميع معلومات العميل المتاحة ومن ثم أرسلها إلى خادم الاستغلال. وإذا تم استيفاء مجموعة من المتطلبات غير المعروفة، فإنه يتم تزويد العميل باستغلال كروم وبعض تعليمات جافا سكريبت الإضافية. وإذا كان الاستغلال ناجحًا، فإن تعليمات جافا سكريبت تطلب المرحلة التالية المشار إليها في البرنامج النصي باسم SBX.
واكتشفت مجموعة أمان جوجل النشاط في 10 فبراير وصححته بحلول 14 فبراير. وأضافت الشركة جميع مواقع الويب والنطاقات المحددة إلى قاعدة بيانات التصفح الآمن وكذلك أبلغت جميع مستخدمي جيميل و Workspace المستهدفين بالمحاولات.
جوجل تسمح للمطورين باستخدام أنظمتهم للفوترة