朝鲜威胁行为者利用 Chromium 中的零日漏洞 CVE-2024-7971

2024 年 8 月 19 日，微软发现一名朝鲜威胁行为者利用 Chromium 中的零日漏洞（现标识为CVE-2024-7971）来获取远程代码执行 (RCE)。我们高度确信，观察到的 CVE-2024-7971 利用可归因于针对加密货币领域以获取经济利益的朝鲜威胁行为者。我们正在进行的分析和观察到的基础设施使我们有中等信心将此活动归因于Citrine Sleet。我们注意到，虽然部署的FudModule rootkit 也被归因于另一个朝鲜威胁行为者Diamond Sleet，但微软之前发现 Diamond Sleet 和 Citrine Sleet 之间共享基础设施和工具，我们的分析表明这两个威胁行为者之间可能共享使用 FudModule 恶意软件。

CVE-2024-7971 是 V8 JavaScript 和 WebAssembly 引擎中的类型混淆漏洞，影响 128.0.6613.84 之前的 Chromium 版本。利用此漏洞可能允许威胁行为者在沙盒化的 Chromium 渲染器进程中获得 RCE。Google 于 2024 年 8 月 21 日发布了针对此漏洞的修复程序，用户应确保他们使用的是最新版本的 Chromium。我们要感谢 Chromium 团队在解决此问题方面给予的合作。CVE-2024-7971 是今年在 V8 中修补的第三个被利用的 V8 类型混淆漏洞，继CVE-2024-4947和CVE-2024-5274之后。与任何观察到的国家行为者活动一样，微软已直接通知目标客户或受感染客户，并向他们提供重要信息以帮助保护他们的环境。

在本篇博文中，我们分享了有关朝鲜威胁行为者 Citrine Sleet 的详细信息，以及观察到的用于利用 CVE-2024-7971、部署 FudModule rootkit 和入侵系统的策略、技术和程序 (TTP)。我们还提供了建议的缓解措施、检测细节、狩猎指南和入侵指标 (IOC)，以帮助防御者识别、应对和改进对这些攻击的防御。

Citrine Sleet 是谁？

微软追踪的 Citrine Sleet 威胁行为者位于朝鲜，主要针对金融机构，特别是管理加密货币的组织和个人，以获取经济利益。作为其社会工程策略的一部分，Citrine Sleet 对加密货币行业及其相关个人进行了广泛的侦察。威胁行为者创建伪装成合法加密货币交易平台的虚假网站，并利用它们分发虚假的求职申请或诱使目标下载基于合法应用程序的武器化加密货币钱包或交易应用程序。Citrine Sleet 最常见的方法是用其开发的独特木马恶意软件 AppleJeus 感染目标，该恶意软件会收集夺取目标加密货币资产控制权所需的信息。本博客中描述的 FudModule rootkit 现已与 Citrine Sleet 绑定，作为与 Diamond Sleet 的共享工具。

美国评估认为，像 Citrine Sleet 这样的朝鲜行为者可能会继续利用加密货币技术公司、游戏公司和交易所的漏洞来获取和洗钱，以支持朝鲜政权。CVE-2024-7971 攻击所针对的组织之一此前也曾被 Sapphire Sleet 攻击过。

Citrine Sleet 受到 AppleJeus、Labyrinth Chollima、UNC4736 和 Hidden Cobra 等其他安全公司的跟踪，并被认为归属于朝鲜侦察总局 121 局。

利用 CVE-2024-7971

观察到的 Citrine Sleet 零日漏洞攻击使用了浏览器漏洞链中常见的阶段。首先，目标被引导至 Citrine Sleet 控制的漏洞域voyagorclub[.]space。虽然我们目前无法确认目标是如何引导的，但社会工程学是 Citrine Sleet 使用的常用策略。一旦目标连接到该域，就会提供针对 CVE-2024-7971 的零日 RCE 漏洞。

RCE 漏洞在沙盒中的 Chromium 渲染器进程中实现代码执行后，包含 Windows 沙盒逃逸漏洞和 FudModule rootkit 的 shellcode 被下载，然后加载到内存中。沙盒逃逸利用了CVE-2024-38106，这是 Windows 内核中的一个漏洞，微软在发现这一朝鲜威胁行为者活动之前，已于 2024 年 8 月 13 日修复。CVE-2024-38106 被报告给微软安全响应中心 (MSRC)；然而，到目前为止，我们的调查并没有发现报告的 CVE-2024-38106 漏洞活动与此 Citrine Sleet 漏洞活动之间存在任何联系，除了利用相同的漏洞。这可能表明存在“漏洞碰撞”，即不同的威胁行为者独立发现相同的漏洞，或者一名漏洞研究人员向多名行为者共享了对该漏洞的知识。

一旦沙箱逃逸漏洞利用成功，主 FudModule rootkit 就会在内存中运行。此 rootkit 采用直接内核对象操作 (DKOM) 技术来破坏内核安全机制，专门从用户模式执行，并通过内核读/写原语执行内核篡改。我们没有在目标设备上观察到任何其他恶意软件活动。

FudModule 工具包

FudModule 是一种复杂的 rootkit 恶意软件，专门针对内核访问，同时逃避检测。据观察，威胁行为者使用 FudModule 纯数据 rootkit 建立对基于 Windows 的系统的管理员到内核访问权限，以允许读/写原始功能并执行 DKOM。

自 2021 年 10 月以来，人们就观察到 Diamond Sleet 使用 FudModule。ESET和AhnLAB研究人员于 2022 年 9 月公开报告了 FudModule 的最早变体，当时威胁行为者利用已知的易受攻击的驱动程序，以自带易受攻击的驱动程序 (BYOVD) 技术建立管理员到内核的访问权限。2024 年 2 月，Avast 研究人员发布了对更新的 FudModule 变体的分析，该变体更加先进且更难检测，因为它利用了appid.sys中的零日漏洞，appid.sys 是默认安装在 Windows 中的 AppLocker 驱动程序 ( CVE-2024-21338)。

Avast 的进一步研究发现了一条完整的攻击链，其中部署了 FudModule 的更新变体“FudModule 2.0”，其中包括恶意加载程序和后期远程访问木马 (RAT)。该攻击链揭示了之前未知的恶意软件 Kaolin RAT 负责将 FudModule rootkit 加载到目标设备。Kaolin RAT 与命令和控制 (C2) 服务器建立了安全的 AES 加密连接，并能够执行一系列强大的命令，例如将文件下载和上传到 C2 服务器以及创建或更新进程。FudModule 的更新变体表现出与 Citrine Sleet 的 CVE-2024-7971 零日漏洞利用中看到的攻击链类似的攻击链。

8 月 13 日，微软发布了安全更新，以解决 Gen Threat Labs 发现的Windows AFD.sys驱动程序中的零日漏洞( CVE-2024-38193 )。6 月初，Gen Threat Labs 发现 Diamond Sleet 在使用 FudModule rootkit 的攻击中利用了此漏洞，该 rootkit 建立了完全标准的用户到内核访问，比之前看到的管理员到内核访问更进了一步。Gen Threat Labs于 8 月 16 日公开发布了此信息。

建议

CVE-2024-7971 漏洞链依赖多个组件来攻击目标，如果阻止其中任何一个组件（包括 CVE-2024-38106），此攻击链就会失败。Microsoft 于 2024 年 8 月 13 日发布了针对 Diamond Sleet 利用的 CVE-2024-38106 漏洞的安全更新，从而阻止了在更新的系统上利用 CVE-2024-7971 漏洞链的尝试。我们敦促尚未实施这些修复的客户尽快实施，以确保其组织的安全。

零日漏洞不仅需要保持系统处于最新状态，还需要提供安全解决方案，以提供整个网络攻击链的统一可见性，以检测和阻止入侵后的攻击者工具和利用后的恶意活动。Microsoft 建议采取以下缓解措施来减少此威胁的影响。

https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day/