Die Threat Analysis Group (TAG) von Google hat am Donnerstag bekannt gegeben, dass sie Maßnahmen ergriffen hat, um die Bedrohungen durch zwei verschiedene, von der Regierung unterstützte Angreifergruppen aus Nordkorea zu entschärfen, die eine kürzlich entdeckte Schwachstelle im Chrome-Webbrowser zur Remotecodeausführung ausnutzten.
Die Kampagnen, die einmal mehr „die unmittelbaren Sorgen und Prioritäten des Regimes widerspiegeln“, sollen in den USA ansässige Organisationen aus den Bereichen Nachrichtenmedien, IT, Kryptowährungen und Finanztechnologie angegriffen haben, wobei eine der Aktivitäten direkte Infrastrukturüberschneidungen mit früheren Angriffen auf Sicherheitsforscher im vergangenen Jahr aufweist.
Bei der fraglichen Sicherheitslücke handelt es sich um CVE-2022-0609, eine Use-after-free-Schwachstelle in der Browser-Komponente Animation, die Google im Rahmen der am 14. Februar 2022 veröffentlichten Updates (Version 98.0.4758.102) geschlossen hat. Es ist außerdem die erste Zero-Day-Schwachstelle, die der Tech-Gigant seit Anfang 2022 gepatcht hat.
„Der früheste Hinweis darauf, dass dieses Exploit-Kit aktiv eingesetzt wird, ist der 4. Januar 2022“, so Google TAG-Forscher Adam Weidemann in einem Bericht. „Wir vermuten, dass diese Gruppen für dasselbe Unternehmen mit einer gemeinsamen Lieferkette arbeiten und daher dasselbe Exploit-Kit verwenden, aber mit unterschiedlichen Zielen und Techniken arbeiten.
Die erste Kampagne, die mit den TTPs der von der israelischen Cybersecurity-Firma ClearSky im August 2020 als „Operation Dream Job“ bezeichneten Kampagne übereinstimmt, richtete sich gegen mehr als 250 Personen, die für zehn verschiedene Nachrichtenmedien, Domain-Registrare, Webhosting-Provider und Software-Anbieter arbeiten, und lockte sie mit gefälschten Jobangeboten von Unternehmen wie Disney, Google und Oracle.
Die Verwendung von gefälschten Stellenangeboten ist eine bewährte Taktik der Lazarus-Gruppe, die sich bereits im Januar dieses Jahres als das amerikanische Sicherheits- und Raumfahrtunternehmen Lockheed Martin ausgab, um Malware zu verbreiten, die auf Personen abzielte, die einen Job in der Luft- und Raumfahrt- und Verteidigungsindustrie suchten.
„Das doppelte Szenario von Spionage und Gelddiebstahl ist einzigartig für Nordkorea, das Geheimdienste unterhält, die sowohl Informationen als auch Geld für ihr Land stehlen“, stellten ClearSky-Forscher damals fest.
Die zweite Gruppe von Aktivitäten, die vermutlich denselben Chrome-Zero-Day ausgenutzt hat, ist die Operation AppleJeus, bei der mindestens zwei legitime Websites von Finanzdienstleistern kompromittiert wurden, um den Exploit an nicht weniger als 85 Nutzer zu verteilen.
Laut Google TAG besteht das Exploit-Kit aus einer mehrstufigen Infektionskette, bei der der Angriffscode in versteckten Internet-Frames sowohl auf kompromittierten Websites als auch auf von ihnen kontrollierten betrügerischen Websites eingebettet wird.
„In anderen Fällen beobachteten wir, dass gefälschte Websites – die bereits für die Verbreitung von trojanisierten Kryptowährungsanwendungen eingerichtet waren – Iframes hosten und ihre Besucher auf das Exploit-Kit verweisen“, so Weidemann.
Die erste Phase umfasste eine Erkundungsphase, um die Fingerabdrücke der Zielcomputer zu erstellen. Anschließend wurde der RCE-Exploit (Remote Code Execution) ausgeliefert, der bei Erfolg zum Abruf eines zweiten Pakets führte, das entwickelt wurde, um die Sandbox zu umgehen und weitere Aktivitäten nach der Ausnutzung durchzuführen.
Google TAG, das die Kampagnen am 10. Februar entdeckte, stellte fest, dass es „nicht in der Lage war, irgendeine der Phasen nach dem ersten RCE wiederherzustellen“ und betonte, dass die Bedrohungsakteure mehrere Sicherheitsvorkehrungen nutzten, darunter die Verwendung von AES-Verschlüsselung, die explizit dazu diente, ihre Spuren zu verwischen und die Wiederherstellung von Zwischenphasen zu verhindern.
Außerdem überprüften die Kampagnen Besucher, die nicht-Chromium-basierte Browser wie Safari auf macOS oder Mozilla Firefox (auf allen Betriebssystemen) verwendeten, und leiteten die Opfer zu bestimmten Links auf bekannte Exploitation-Server um. Es ist nicht sofort klar, ob einer dieser Versuche erfolgreich war.
Die Erkenntnisse stammen von dem Bedrohungsforschungsunternehmen Mandiant, das verschiedene Lazarus-Untergruppen verschiedenen Regierungsorganisationen in Nordkorea zuordnet, darunter das Reconnaissance General Bureau, das United Front Department (UFD) und das Ministry of State Security (MSS).
Lazarus ist der Oberbegriff für bösartige Cyber- und Finanzkriminalitätsoperationen, die aus dem streng sanktionierten Eremitenreich stammen, so wie Winnti und MuddyWater als Konglomerat verschiedener Teams fungieren, um Chinas und Irans geopolitische und nationale Sicherheitsziele zu unterstützen.
„Der nordkoreanische Geheimdienst verfügt über die Flexibilität und Widerstandsfähigkeit, Cyber-Einheiten zu bilden, die auf die Bedürfnisse des Landes zugeschnitten sind“, so die Mandiant-Forscher. „Außerdem deuten Überschneidungen bei der Infrastruktur, der Malware und den Taktiken, Techniken und Verfahren darauf hin, dass ihre Cyberoperationen auf gemeinsame Ressourcen zurückgreifen.