Gli hacker sostenuti dal governo della Corea del Nord hanno sfruttato un bug chiamato Chrome zero-day nel tentativo di infettare i computer di centinaia di persone che lavorano in una vasta gamma di settori, inclusi i media, l’IT, le criptovalute e i servizi finanziari, ha affermato Google giovedì.
Il bug, tracciato come CVE-2022-0609, è stato sfruttato da due distinti gruppi di hacker nordcoreani. Entrambi i gruppi hanno implementato lo stesso exploit kit su siti web che appartenevano a organizzazioni legittime e sono stati violati o sono stati creati con lo scopo esplicito di iniettare un codice malevolo ai visitatori ignari.
Un gruppo è stato soprannominato Operazione Dream Job e ha preso di mira più di 250 persone che lavorano per 10 aziende diverse. L’altro gruppo, noto come AppleJeus, ha preso di mira 85 utenti.
Come si è sviluppato l’attacco
“Sospettiamo che questi gruppi lavorino per la stessa entità, da qui l’uso dello stesso exploit kit, ma ognuno opera con una missione diversa e implementa tecniche diverse“, Adam Weidemann, ricercatore del gruppo di analisi delle minacce di Google , ha scritto in un post. “È possibile che altri aggressori sostenuti dal governo nordcoreano abbiano accesso allo stesso exploit kit”.
L’operazione Dream Job è attiva almeno da giugno 2020, quando i ricercatori della società di sicurezza ClearSky hanno osservato che il gruppo prendeva di mira la difesa e le società governative. GLi hackers hanno preso di mira dipendenti specifici delle organizzazioni con false offerte di “lavoro” con aziende come Boeing, McDonnell Douglas e BAE. Gli hacker hanno ideato un’elaborata campagna di ingegneria sociale che utilizzava profili LinkedIn fittizi, e-mail, messaggi WhatsApp e telefonate. L’obiettivo della campagna era sia rubare denaro che raccogliere informazioni.