Chrome bővítményeket célzó rosszindulatú kampány
Egy ismeretlen kiberszereplő feltörte a Cyberhaven, egy adatbiztonsági startup adminisztrátori fiókját, és azt arra használta, hogy rosszindulatú frissítést terjesszen a cég Chrome böngészőbővítményéhez. A svájci alapítású Cyberhaven biztonsági cég szerint a hackelés karácsonykor történt, és a vállalat az észleléstől számított 60 percen belül eltávolította a rosszindulatú csomagot a Chrome Web Store-ból. A kompromittált bővítményt futtató böngészők több mint 30 órán át voltak kitéve a visszaéléseknek. A Cyberhaven szerint a támadók potenciálisan kiszivárogtathatták az áldozatok érzékeny adatait, beleértve a hitelesített munkameneteket és sütiket. A Cyberhaven arra szakosodott, hogy segítsen a szervezeteknek megállítani a belső fenyegetéseket (insider threat). A böngészőbővítmény a Cyberhaven elsődleges eszköze az adatok kiszivárgásának figyelésére és megakadályozására. Nyomon követi az e-maileken, AI-eszközökön és webes alkalmazásokon keresztül küldött adatokat.
A Cyberhaven az ügyfeleinek küldött e-mailben közölte, hogy az egyik alkalmazottja volt a fejlett támadás célpontja. A vállalaton kívüli kutatók szerint a rendszergazda fiókját valószínűleg egy adathalász e-mailen keresztül kompromittálták. Nem világos, hogy hány embert érintett a támadás, vagy mi volt a hackerek elsődleges célja. A Cyberhaven közölte, hogy a nyomozás folyamatban van, a Google tulajdonában lévő Mandiant kiberbiztonsági cég és a szövetségi bűnüldöző szervek közreműködésével.
Jamie Blasco, a Nudge Security SaaS biztonsági cég technológiai igazgatója további domaineket azonosított, amelyek a Cyberhaven betöréséhez használt C&C szerver IP-címéhez kapcsolódtak. A Secure Annex böngészőbővítmény-biztonsági platform szerint a vizsgálatok további olyan bővítményeket tártak fel, amelyekről feltételezhető, hogy kompromittálódtak. Ezek a további kompromittált bővítmények azt jelzik, hogy a Cyberhaven nem egyszeri célpont volt, hanem egy széles körű támadási kampány része, amely a legitim böngészőbővítményeket vette célba. A Secure Annex alapítója, John Tuckner szerint a kampány valószínűleg 2023. április 5. óta tart, és a használt domainek regisztrációs dátuma alapján valószínűleg még régebb óta: a nagofsg[.]com-ot 2022 augusztusában, a sclpfybn[.]com-ot pedig 2021 júliusában regisztrálták.
