Google พบแฮกเกอร์เกาหลีเหนือโจมตีผู้ใช้ Chrome ผ่านช่องโหว่ Zero-day

ทีมงาน Threat Analysis Group (TAG) ของกูเกิล พบกลุ่มแฮกเกอร์ที่อ้างว่ามาจากรัฐบาลเกาหลีเหนือโจมตีสื่อมวลชน, กลุ่มคนทำงานไอที, กลุ่มผู้ที่สนใจข่าวฟินเทคและผู้สนใจเงินคริปโต โดยอาศัยช่องโหว่ CVE-2022-0609 (ซึ่งเป็นช่องโหว่ Zero-day ที่ถูกพบเมื่อเดือนกุมภาพันธ์ 2565 (แต่ปัจจุบันออกแพทซ์ให้อัปเดตแล้ว) โดยการโจมตีนี้แบ่งออกเป็น 2 กลุ่ม  ดังนี้

  • กลุ่มที่ 1

คือ Operation Dream Job พยายามหลอกล่ออย่างน้อย 250 คน ให้เข้าไปดูประกาศที่อ้างว่าเป็นเว็บไซต์รับสมัครงานบนโดเมนปลอม เมื่อคลิกลิงก์แล้วบนเว็บจะมี iframe ที่พยายามเจาะเบราว์เซอร์ผู้ใช้

  • กลุ่มที่ 2

Operation AppleJesus หลอกล่ออย่างน้อย 85 คน ให้เข้าไปอ่านข่าวเงินคริปโตหรือข่าวฟินเทค และมีลิงก์ปลอมให้คลิกเช่นเดียวกับการโจมตีของกลุ่มที่ 1

ซึ่งทั้งสองกลุ่มนี้จะใช้เครือข่ายในการปล่อยมัลแวร์แยกกันแต่ใช้วิธีการเดียวกัน โดยในหน้า iframe สำหรับเจาะเบราว์เซอร์จะสำรวจข้อมูลเบราว์เซอร์ว่าเป็นเวอร์ชันที่มีช่องโหว่หรือไม่ หากใช่ก็จะดาวน์โหลดจาวาสคริปต์มาเพิ่ม เพื่อเจาะทะลุ sandbox ของเบราว์เซอร์ออกมารันโค้ดและเข้าควบคุมเครื่องของเหยื่อ สำหรับคนที่เป็นกังวลว่าเว็บไซต์ที่เข้าเยี่ยมชมเป็นเว็บปลอมของแฮกเกอร์หรือไม่ สามารถเข้าไปอ่านรายละเอียดเพิ่มเติมได้ที่ https://blog.google/threat-analysis-group/countering-threats-north-korea/   และสำหรับใครที่ยังไม่ได้อัปเดตแพทซ์ของ Google Chrome ให้เร่งอัปเดตเวอร์ชันใหม่ทันทีเพื่อความปลอดภัย 

ที่มา: https://blog.google/threat-analysis-group/countering-threats-north-korea/ 

และ https://www.blognone.com/node/127807