Google พบแฮกเกอร์เกาหลีเหนือโจมตีผู้ใช้ Chrome ผ่านช่องโหว่ Zero-day
ทีมงาน Threat Analysis Group (TAG) ของกูเกิล พบกลุ่มแฮกเกอร์ที่อ้างว่ามาจากรัฐบาลเกาหลีเหนือโจมตีสื่อมวลชน, กลุ่มคนทำงานไอที, กลุ่มผู้ที่สนใจข่าวฟินเทคและผู้สนใจเงินคริปโต โดยอาศัยช่องโหว่ CVE-2022-0609 (ซึ่งเป็นช่องโหว่ Zero-day ที่ถูกพบเมื่อเดือนกุมภาพันธ์ 2565 (แต่ปัจจุบันออกแพทซ์ให้อัปเดตแล้ว) โดยการโจมตีนี้แบ่งออกเป็น 2 กลุ่ม ดังนี้
กลุ่มที่ 1
คือ Operation Dream Job พยายามหลอกล่ออย่างน้อย 250 คน ให้เข้าไปดูประกาศที่อ้างว่าเป็นเว็บไซต์รับสมัครงานบนโดเมนปลอม เมื่อคลิกลิงก์แล้วบนเว็บจะมี iframe ที่พยายามเจาะเบราว์เซอร์ผู้ใช้
กลุ่มที่ 2
Operation AppleJesus หลอกล่ออย่างน้อย 85 คน ให้เข้าไปอ่านข่าวเงินคริปโตหรือข่าวฟินเทค และมีลิงก์ปลอมให้คลิกเช่นเดียวกับการโจมตีของกลุ่มที่ 1
ซึ่งทั้งสองกลุ่มนี้จะใช้เครือข่ายในการปล่อยมัลแวร์แยกกันแต่ใช้วิธีการเดียวกัน โดยในหน้า iframe สำหรับเจาะเบราว์เซอร์จะสำรวจข้อมูลเบราว์เซอร์ว่าเป็นเวอร์ชันที่มีช่องโหว่หรือไม่ หากใช่ก็จะดาวน์โหลดจาวาสคริปต์มาเพิ่ม เพื่อเจาะทะลุ sandbox ของเบราว์เซอร์ออกมารันโค้ดและเข้าควบคุมเครื่องของเหยื่อ สำหรับคนที่เป็นกังวลว่าเว็บไซต์ที่เข้าเยี่ยมชมเป็นเว็บปลอมของแฮกเกอร์หรือไม่ สามารถเข้าไปอ่านรายละเอียดเพิ่มเติมได้ที่ https://blog.google/threat-analysis-group/countering-threats-north-korea/ และสำหรับใครที่ยังไม่ได้อัปเดตแพทซ์ของ Google Chrome ให้เร่งอัปเดตเวอร์ชันใหม่ทันทีเพื่อความปลอดภัย
ที่มา : https://www.cyfence.com/it-360/tag-found-north-korean-hackers-attacking-chrome-zero-day-vulnerability/
กลุ่มที่ 1
คือ Operation Dream Job พยายามหลอกล่ออย่างน้อย 250 คน ให้เข้าไปดูประกาศที่อ้างว่าเป็นเว็บไซต์รับสมัครงานบนโดเมนปลอม เมื่อคลิกลิงก์แล้วบนเว็บจะมี iframe ที่พยายามเจาะเบราว์เซอร์ผู้ใช้
กลุ่มที่ 2
Operation AppleJesus หลอกล่ออย่างน้อย 85 คน ให้เข้าไปอ่านข่าวเงินคริปโตหรือข่าวฟินเทค และมีลิงก์ปลอมให้คลิกเช่นเดียวกับการโจมตีของกลุ่มที่ 1
ซึ่งทั้งสองกลุ่มนี้จะใช้เครือข่ายในการปล่อยมัลแวร์แยกกันแต่ใช้วิธีการเดียวกัน โดยในหน้า iframe สำหรับเจาะเบราว์เซอร์จะสำรวจข้อมูลเบราว์เซอร์ว่าเป็นเวอร์ชันที่มีช่องโหว่หรือไม่ หากใช่ก็จะดาวน์โหลดจาวาสคริปต์มาเพิ่ม เพื่อเจาะทะลุ sandbox ของเบราว์เซอร์ออกมารันโค้ดและเข้าควบคุมเครื่องของเหยื่อ สำหรับคนที่เป็นกังวลว่าเว็บไซต์ที่เข้าเยี่ยมชมเป็นเว็บปลอมของแฮกเกอร์หรือไม่ สามารถเข้าไปอ่านรายละเอียดเพิ่มเติมได้ที่ https://blog.google/threat-analysis-group/countering-threats-north-korea/ และสำหรับใครที่ยังไม่ได้อัปเดตแพทซ์ของ Google Chrome ให้เร่งอัปเดตเวอร์ชันใหม่ทันทีเพื่อความปลอดภัย
ที่มา : https://www.cyfence.com/it-360/tag-found-north-korean-hackers-attacking-chrome-zero-day-vulnerability/