谷歌周四描述了它显然是如何捕获并阻止朝鲜利用 Chrome 中的远程代码执行漏洞的努力。

据 Google 员工 Adam Weidemann 称，该安全漏洞于 2 月 10 日被发现在野外被滥用，并且有证据表明它早在 1 月 4 日就被利用了。这家网络巨头于 2 月 14 日修补了该漏洞。利用该漏洞为入侵受害者的浏览器并可能接管他们的计算机以监视他们。

我们被告知，两个朝鲜政府团队利用该漏洞针对美国的新闻媒体、IT 和互联网基础设施、加密货币和金融科技领域的组织，尽管这些组织可能关注其他行业和国家。

这两名平壤支持的机组人员此前以“梦想工作行动”和“AppleJeus行动”的名义被追踪。谷歌怀疑这两个人代表的是同一个实体，因为他们都使用了相同的漏洞利用代码，尽管他们的目标和部署技术不同。

我们被告知，Operation Dream Job 的目标对象是在主要新闻机构、域名注册商、托管服务提供商和软件供应商工作的个人。该团队伪装成招聘人员，通过电子邮件标记谷歌、甲骨文和迪斯尼的虚假职位细节，并附上旨在看起来像 Indeed、ZipRecruiter 和 DisneyCareers 的网站的链接。一旦进入该网站，访问者就会获得一个隐藏的 iframe，该 iframe 利用浏览器漏洞来实现任意代码执行。

第二个团队，Operation AppleJeus，针对加密货币和金融科技业务的人员，涉及建立托管漏洞利用代码的恶搞网站，并将其置于两个受感染金融科技网站的隐藏 iframe 中。 

该漏洞利用本身使用 JavaScript 构建系统指纹，然后在满足一组未知条件时触发该漏洞。 

如果远程代码执行成功，一些 JavaScript 会请求攻击的下一阶段：浏览器沙箱逃逸以进一步访问运行 Chrome 的机器。在那之后，这条小路就变冷了。“为了保护他们的漏洞，攻击者部署了多种保护措施，使安全团队难以恢复任何阶段，”Weidemann 在包含妥协指标的技术文章中解释道。

我们被告知朝鲜人确保 iframe 仅在特定时间出现，并向受害者发送独特的链接，这些链接可能在一次激活后过期。AES 算法用于加密每个步骤，如果一个失败，它会停止尝试为其他阶段提供服务。 

Weidemann 还表示，虽然谷歌只恢复了利用 Chrome 远程代码执行漏洞的材料，但它发现了攻击者还检查了 macOS 和 Firefox 上的 Safari 的证据，并在这些情况下将它们定向到特定页面。再一次，一条冷酷的线索：当谷歌调查时，这些链接已经失效。 

关闭相关漏洞的补丁是在情人节为 Chromium 发布的，谷歌指出，朝鲜人在随后的几天内进行了多次利用尝试。魏德曼说，这“强调了在安全更新可用时应用它们的重要性。”