朝鲜 APT 组织利用 Chrome 零日漏洞 部署 FudModule Rootkit

最近，一场网络攻击事件引发了全球网络安全界的高度关注。与朝鲜有关的APT组织Citrine Sleet（又名AppleJeus、Labyrinth Chollima、UNC4736、Hidden Cobra）利用了Google Chrome的一个零日漏洞（CVE-2024-7971），成功部署了名为FudModule的rootkit，攻击目标直指全球多个领域，尤其是加密货币行业。本文将带你深入了解这一事件的细节，并探讨如何防范此类攻击。

Citrine Sleet：朝鲜的神秘黑客组织

Citrine Sleet是一个与朝鲜政府密切相关的网络间谍组织，主要以加密货币领域为目标，旨在通过网络攻击获取经济利益。这一组织的攻击手段高明，往往利用最前沿的漏洞技术，这次利用Chrome零日漏洞的事件再次证明了其强大的攻击能力。

微软研究人员发现，Citrine Sleet这次利用的是Google Chrome中的一个严重漏洞CVE-2024-7971。该漏洞影响了Chromium版本128.0.6613.84之前的所有版本，漏洞评分高达8.8，表明其危害极大。一旦被利用，攻击者可以在Chromium的沙盒化渲染器进程中实现远程代码执行（RCE），从而获取系统的控制权。

攻击链揭秘：从漏洞利用到FudModule部署

此次攻击的具体过程令人触目惊心。Citrine Sleet首先通过社会工程学手段，将目标用户引导至其控制的恶意域名voyagorclub[.]space。一旦目标用户访问该网站，Chrome漏洞CVE-2024-7971被立即触发，RCE漏洞开始执行攻击代码。

紧接着，攻击者利用Windows沙盒逃逸漏洞CVE-2024-38106，在成功突破沙盒限制后，下载并加载FudModule rootkit至目标系统内存中。FudModule rootkit采用了直接内核对象操作（DKOM）技术，这种技术使得攻击者能够从用户模式篡改内核，避开系统的安全机制，从而实现对系统的全面控制。

FudModule：隐秘而危险的Rootkit

FudModule rootkit是一个极具隐蔽性的恶意软件，它完全在内存中运行，不留下任何磁盘痕迹，因此极难被传统的防病毒软件检测到。通过DKOM技术，FudModule能够绕过Windows的内核安全检查，攻击者可以在目标系统上肆意妄为，几乎不留任何痕迹。

值得注意的是，微软发现Citrine Sleet与另一个朝鲜相关的组织Diamond Sleet共享了相同的基础设施和工具，这表明这两个组织可能正在联合使用FudModule进行大规模的网络攻击。

漏洞碰撞与多重威胁

此次攻击事件还揭示了另一个值得关注的现象——漏洞碰撞。微软的报告指出，CVE-2024-38106的利用活动不仅与Citrine Sleet有关，也可能与其他威胁行为者有关。这意味着不同的攻击者可能在不知情的情况下，独立发现了相同的漏洞，或是共享了漏洞信息。

结语

此次Citrine Sleet利用Chrome零日漏洞的攻击事件，再次提醒我们在数字时代，网络安全的重要性和紧迫性。攻击者的手段日新月异，防护措施也必须不断升级。只有通过持续的安全意识提升和技术更新，才能在这个充满威胁的网络环境中立于不败之地。

原文始发于微信公众号（紫队安全研究）：朝鲜 APT 组织利用 Chrome 零日漏洞 部署 FudModule Rootkit