【高级威胁事件响应通告】Google TAG：疑似Lazarus最新攻击威胁

据相关情报，Threat Analysis Group 于2月10日发现了两个某东北亚黑客组织的最新攻击活动，这些活动与公开跟踪的 Operation Dream Job 和 Operation AppleJeus 活动相关联，其攻击目标主要为美国的新闻媒体、IT公司、加密货币和金融科技行业。在此次活动中，攻击者使用到了 CVE-2022-0609(Chrome 远程代码执行)漏洞，该漏洞已于2022年2月14日修补，建议将   Chrome 升级到最新版本。

参考 Chrome 更新通告，链接如下：

https://chromereleases.googleblog.com/2022/02/stable-channel-update-fordesktop_14.html

此次与 Operation Dream Job 关联的活动，通过给新闻媒体、域名注册商、网络托管服务提供商和软件供应商工作的 250 多名员工发送钓鱼邮件实施攻击。

此次与 AppleJeus 关联的活动，通过相同的漏洞利用工具包对加密货币和金融科技行业超过 85 名用户实施了攻击，并至少入侵了两个合法的金融科技公司的网站，以将其漏洞利用工具包的链接放置在隐藏的 iframe 中。

攻击者伪造迪士尼、谷歌和 Oracle 的招聘邮件，并在邮件中附上虚假的求职链接，受害者点击链接时，会触发 CVE-2022-0609(Chrome 远程代码执行) 漏洞。

具体表现为攻击者通过隐藏的 iframe 在自己和入侵的网站中放置指向该漏洞利用工具包的链接，当目标符合预期时，触发漏洞利用。

目前受影响的版本：

Chrome：<98.0.4758.102

打开谷歌 Chrome 浏览器，在地址栏输入 chrome://version/，回车即可查看版本：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html

【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁。

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全运营服务MSS】通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁，安全运营服务提供安全设备策略检查、安全威胁检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。

ANALYSIS GROUP的安全通报：
https://blog.google/threat-analysis-group/countering-threats-north-korea/

Chrome安全公告：
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html