Исследователи Группы изучения угроз (Threat Analysis Group - TAG) корпорации Google сообщили о двух вредоносных кампаниях, организованных северокорейскими хакерами, действующими, предположительно, в интересах правительства своей страны. Операции были направлены против пользователей браузера Google Chrome и эксплуатировали уязвимость высвобождения памяти, имеющую идентификатор CVE-2022-0609.

Первая из вредоносных кампаний была нацелена на сотрудников СМИ, доменных регистраторов и хостинг-провайдеров, а также разработчиков программного обеспечения. Методами социальной инженерии их убеждали посетить сайты, в коды которых был встроен эксплойт для эксплуатации уязвимости CVE-2022-0609. При этом злоумышленники не только создавали собственные вредоносные сайты на вновь зарегистрированных доменах, но и взламывали легитимные ресурсы для осуществления атаки. Использованная в этой операции инфраструктура в значительной мере пересекается с той, что была задействована в ходе вредоносной кампании Operation Dream Job, развернутой северокорейскими хакерами против сотрудников компаний оборонного и аэрокосмического сектора в 2020 году.

Вторая кампания, организованная по схожему сценарию, была направлена против специалистов финансово-технологического и криптовалютного бизнеса. В общей сложности действия северокорейских хакеров затронули более 330 пользователей, в том числе занимающих важные позиции в своих отраслях, а потому компрометация их систем могла иметь весьма серьезные последствия. Отмечается, что уязвимость CVE-2022-0609 и эксплуатирующие ее атаки были обнаружены специалистами Google TAG 10 февраля. Четыре дня спустя корпорация Google выпустила исправление, устраняющее уязвимость. Однако в атаках она использовалась по меньше мере с 4 января нынешнего года.