Vergangene Woche hat Google ein wichtiges Update für seinen Browser Chrome ausgeliefert. Damit soll ein neuer Zero-Day-Exploit geschlossen werden, der von kriminellen Hackern derzeit bereits ausgenutzt wird. Details sind zu der Sicherheitslücke (CVE-2022-1096) noch nicht bekannt – Google möchte den Chrome-Nutzern zunächst Gelegenheit geben, ihren Browser upzudaten – doch es scheint sich um eine sogenannte Type Confusion in der V8 JavaScript Engine zu handeln. Solche Schwachstellen können vorkommen, wenn auf ein Objekt mit einer Ressource zugegriffen wird, die eigentlich nicht mit ihm kompatibel ist. Das hat zur Folge, dass das Programm übergebene Daten sich mehr korrekt überprüft – was Kriminelle wiederum für ihre Zwecke ausnutzen. Weitere Informationen sind zum jetzigen Zeitpunkt nicht verfügbar, da Google verhindern will, dass weitere Kriminelle die Sicherheitslücke ausnutzen. Ebenfalls von der Sicherheitslücke betroffen scheint Microsofts Edge-Browser zu sein, zu dem ebenfalls eine Erklärung veröffentlich wurde.
Es ist jedoch nicht der einzige Zero-Day-Exploit, mit dem Chrome-Nutzer derzeit angegriffen werden. Bereits Anfang der Woche hatte Googles Threat Analysis Group (TAG) vor zwei aktuell laufenden Kampagnen gewarnt, die beide offenbar auf nordkoreanische Hackergruppen zurückzuführen sind. Im Fokus stehen dabei amerikanische Organisationen aus den Bereichen Medien, IT, Kryptowährungen und Fintech. Da beide Kampagnen dieselbe Schwachstelle (CVE-2022-0609) mit dem gleichen Exploit-Kit ausnutzen und teils auf die gleichen Strukturen im Hintergrund zugreifen, liegt der Verdacht nahe, dass es sich um zwei verschiedene Teams innerhalb ein und derselben Gruppe handelt.
Das eine Team verfolgt einen Ansatz, den Sicherheitsexperten von ClearSky „Operation Dream Job“ getauft haben und der bereits seit August 2020 bekannt ist. Dabei werden die Opfer mit verlockenden Job-Angeboten per E-Mail geködert. Diese Art des Phishings ist bei nordkoreanischen Angriffstruppen äußerst beliebt. Erst im Januar gaben sich einige dieser Hacker als Mitarbeiter des amerikanischen Luft- und Raumfahrtunternehmens Lockheed Martin aus, um die Opfer mit vermeintlich vielversprechenden Jobangeboten dazu zu bringen, Malware herunterzuladen. In der aktuellen Kampagne sind derzeit über 250 Fälle bekannt, bei denen die Kriminellen für falsche Jobs bei Disney, Google oder Oracle geworben haben.
Das zweite Team hingegen zeigt starke Ähnlichkeit zu „Operation AppleJeus“, bei der die Hackergruppe Lazarus 2018 eine Börse für Kryptowährungen erfolgreich angegriffen hatte. Hier sind im aktuellen Fall die Webseiten von mindestens zwei Fintech-Firmen betroffen, über die das Exploit Kit an rund 85 User ausgeliefert wurde.
Auch wenn der Fokus der nordkoreanischen Angreifer aktuell eher auf US-Unternehmen zu liegen scheint, kann sich das schnell ändern. Die gute Nachricht ist außerdem, dass Google bereits vor einigen Wochen ein Update veröffentlich hat, das die ausgenutzte Sicherheitslücke schließt. Chrome- aber auch Edge-Nutzer sollten jedoch schnell handeln und überprüfen, ob ihr Browser auf dem neuesten Stand ist. Das ist ganz einfach über die Einstellungen des Browsers möglich. Auch Administratoren, die derartige Updates zentral aufspielen, sollten dies schnellstmöglich erledigen, um den Cyberkriminellen keine unnötige Angriffsfläche zu bieten.
Es ist jedoch nicht der einzige Zero-Day-Exploit, mit dem Chrome-Nutzer derzeit angegriffen werden. Bereits Anfang der Woche hatte Googles Threat Analysis Group (TAG) vor zwei aktuell laufenden Kampagnen gewarnt, die beide offenbar auf nordkoreanische Hackergruppen zurückzuführen sind. Im Fokus stehen dabei amerikanische Organisationen aus den Bereichen Medien, IT, Kryptowährungen und Fintech. Da beide Kampagnen dieselbe Schwachstelle (CVE-2022-0609) mit dem gleichen Exploit-Kit ausnutzen und teils auf die gleichen Strukturen im Hintergrund zugreifen, liegt der Verdacht nahe, dass es sich um zwei verschiedene Teams innerhalb ein und derselben Gruppe handelt.
Das eine Team verfolgt einen Ansatz, den Sicherheitsexperten von ClearSky „Operation Dream Job“ getauft haben und der bereits seit August 2020 bekannt ist. Dabei werden die Opfer mit verlockenden Job-Angeboten per E-Mail geködert. Diese Art des Phishings ist bei nordkoreanischen Angriffstruppen äußerst beliebt. Erst im Januar gaben sich einige dieser Hacker als Mitarbeiter des amerikanischen Luft- und Raumfahrtunternehmens Lockheed Martin aus, um die Opfer mit vermeintlich vielversprechenden Jobangeboten dazu zu bringen, Malware herunterzuladen. In der aktuellen Kampagne sind derzeit über 250 Fälle bekannt, bei denen die Kriminellen für falsche Jobs bei Disney, Google oder Oracle geworben haben.
Das zweite Team hingegen zeigt starke Ähnlichkeit zu „Operation AppleJeus“, bei der die Hackergruppe Lazarus 2018 eine Börse für Kryptowährungen erfolgreich angegriffen hatte. Hier sind im aktuellen Fall die Webseiten von mindestens zwei Fintech-Firmen betroffen, über die das Exploit Kit an rund 85 User ausgeliefert wurde.
Auch wenn der Fokus der nordkoreanischen Angreifer aktuell eher auf US-Unternehmen zu liegen scheint, kann sich das schnell ändern. Die gute Nachricht ist außerdem, dass Google bereits vor einigen Wochen ein Update veröffentlich hat, das die ausgenutzte Sicherheitslücke schließt. Chrome- aber auch Edge-Nutzer sollten jedoch schnell handeln und überprüfen, ob ihr Browser auf dem neuesten Stand ist. Das ist ganz einfach über die Einstellungen des Browsers möglich. Auch Administratoren, die derartige Updates zentral aufspielen, sollten dies schnellstmöglich erledigen, um den Cyberkriminellen keine unnötige Angriffsfläche zu bieten.
