Die Zero-Day-Schwachstelle in Chrome bleibt einen Monat lang ungepatcht

Sicherheitsforscher entdeckten zwei separate bösartige Kampagnen, die eine Zero-Day-Schwachstelle im Chrome-Browser ausnutzten. Die Fehler wurden etwa einen Monat lang aktiv in freier Wildbahn ausgenutzt, bevor der Patch eintraf.

Zwei Gruppen, zwei Angriffe

Googles eigene Threat Analysis Group entdeckte die Schwachstelle bereits Anfang Februar und Google veröffentlichte nur vier Tage später einen Patch dafür, zusammen mit dem Fehlerbericht. Die Schwachstelle wurde unter der Bezeichnung CVE-2022-0609 verfolgt und umfasste ein Use-after-free-Problem mit der für die Animation zuständigen Browserkomponente. Die Schwachstelle wurde bereits aktiv in freier Wildbahn ausgenutzt.

Die Forscher haben die böswilligen Aktivitäten im Zusammenhang mit dem Fehler mit einer Reihe von Bedrohungsakteuren namens Operation Dream Job und Operation AppleJesus aufgespürt. Es wird angenommen, dass es sich bei beiden um nordkoreanische Bedrohungsakteure handelt. Die von den Hackern durchgeführten Angriffe konzentrierten sich hauptsächlich auf US-Einheiten aus einer Reihe von Sektoren, von Krypto bis zu Medien. Forscher schließen jedoch nicht aus, dass die Angriffe weitere Ziele außerhalb der USA hatten.

Gleiches Exploit-Kit, unterschiedliche Methoden

Obwohl die beiden Bedrohungsakteure bei ihren Angriffen ein und dasselbe Exploit-Kit verwendeten, verwendeten sie unterschiedliche Techniken und zielten auf unterschiedliche Entitäten ab.

Bei den Angriffen wurden E-Mails mit gefälschten Stellenangeboten mit böswilligen Links verwendet, mit denen hochkarätige, äußerst begehrte Arbeitgeber vorgetäuscht wurden. Sobald das Opfer auf den schädlichen Link klickt, um das vollständige gefälschte Stellenangebot anzuzeigen, lädt der Browser ein unsichtbares Iframe, das wiederum das Exploit-Kit einsetzt.

AppleJesus konzentrierte sich auf verschiedene Ziele und arbeitete hauptsächlich in den Bereichen Krypto und Finanzen. Das bei dem Angriff verwendete Exploit-Kit war dasselbe.

Die iFrames wurden auf Seiten gehostet, die entweder von den Angreifern betrieben wurden und ihnen gehörten, oder auf Seiten von Websites, die die Hacker zuvor erfolgreich kompromittiert hatten und auf denen die bösartigen Elemente gehostet werden konnten.

Das Problem wurde gepatcht, aber das Problem verbleibt immer noch in der Zeitspanne von mehreren Wochen, in denen die Angreifer die Sicherheitsanfälligkeit zwischen Systemen ausgenutzt haben könnten, auf denen die ungepatchten Versionen von Chrome ausgeführt werden.