CVE-2022-0609 heißt der Fehler, den zwei separate nordkoreanische Hacking-Gruppen laut Google nutzten, um die Computer Hunderter Menschen zu infizieren, die vorrangig bei Nachrichtenmedien, in der IT, im Kryptowährungssektor oder bei Finanzdienstleistern arbeiten.

Im Februar erfuhren Google-Forscher von der kritischen Schwachstelle, die in Chrome ausgenutzt wird. Die Ingenieure des Unternehmens behoben die Schwachstelle umgehend. Am Donnerstag gab das Unternehmen weitere Details über die Sicherheitslücke bekannt und erklärte, wie die beiden nordkoreanischen Hackergruppen sie ausnutzten.

Eine der Gruppen nennt sich Operation Dream Job und ist für Angriffe auf mehr als 250 Personen aus zehn verschiedenen Unternehmen verantwortlich. Die andere Gruppe hatte es auf 85 Nutzer abgesehen und ist als AppleJeus bekannt.

Operation Dream Job soll laut Adam Weidemann, Forscher in der Bedrohungsanalysegruppe von Google, bereits seit mindestens Juni 2020 aktiv sein. Damals beobachteten Forscher der Sicherheitsfirma Clearsky die Gruppe bereits, da sie es auf Verteidigungs- und Regierungsunternehmen abgesehen hatten. Mit gefälschten Angeboten eines Traumjobs, daher auch der Name, bei Unternehmen wie Boeing oder McDonnell Douglas, gingen die Angreifer gezielt auf einzelne Mitarbeiter zu. Dabei entwickelten die Hacker eine ausgeklügelte Social-Engineering-Kampagne, die mit fiktiven Linkedin-Profile, E-Mails, Whatsapp-Chatverläufen und Fake-Anrufen gespickt wurde. Mit dieser Kampagne versuchte Operation Dream Job Geld zu stehlen und wichtige Informationen zu sammeln.

AppleJeus soll sogar schon im Jahr 2018 auffällig geworden sein, als Kaspersky-Forscher entdeckten, dass nordkoreanische Hacker versuchten, mit Malware eine Kryptowährungsbörse anzugreifen. Die AppleJeus-Operation zeichnete sich durch die Verwendung einer bösartigen App aus, die für macOS geschrieben wurde und ausschließlich im Speicher lief, ohne eine Datei auf die Festplatte zu schreiben, was die Erkennung der Malware deutlich erschwerte.

Beide Gruppen nutzten dasselbe Exploit-Kit, das sie auf real existierenden Websites von Unternehmen, die gehackt wurden, oder extra erstellten Seiten einrichteten, um ahnungslose Nutzer mit schädlichem Code zu versorgen.

Operation Dream Job verschickte E-Mails, die angeblich von Personalvermittlern stammten, die für Disney, Google und Oracle arbeiteten. Links, die in die E-Mail eingebettet waren, fälschten legitime Jobsuche-Websites wie Indeed und ZipRecruiter. Die echt aussehenden Seiten enthielten jedoch einen Iframe, der den Exploit auslöste.

Mitglieder der Operation AppleJeus haben die Websites von mindestens zwei seriösen Finanzdienstleistungsunternehmen und eine Vielzahl von Ad-hoc-Websites kompromittiert,sodass sie bösartige Kryptowährungs-Apps verbreiteten. Wie auch die Dream-Jobs-Seiten waren die Apps mit Iframes versehen, die den Exploit auslösten.

Nachdem Google am 14. Februar die Chrome-Schwachstelle gepatcht hatte, unternahmen die Hacker mehrere Versuche, die Schwachstelle weiter auszunutzen. Das Ergebnis „betont die Wichtigkeit, Sicherheitsupdates anzuwenden, sobald sie verfügbar sind“, sagte Weidemann. Die Analyse zeigt, dass nordkoreanische Hacker sich weiter verbessern, indem sie mittlerweile auf viele der gleichen fortschrittlichen Techniken zurückgreifen, die auch Hackergruppen aus anderen Ländern schon länger verwenden.