朝鲜攻击者利用 Google Chrome 和其他 Chromium 网络浏览器中最近修补的安全漏洞作为零日漏洞,发起旨在传播 FudModule 根工具包的活动。
这一进展表明了民族国家对手的不懈努力,近几个月来,他们已习惯将大量 Windows 零日漏洞纳入其武器库。
微软于 2024 年 8 月 19 日检测到该活动,并将其归咎于其追踪的威胁行为者Citrine Sleet(以前称为 DEV-0139 和 DEV-1222),该威胁行为者也称为 AppleJeus、Labyrinth Chollima、Nickel Academy 和UNC4736。它被评估为 Lazarus Group(又名 Diamond Sleet 和 Hidden Cobra)内的一个子集群。
值得一提的是,卡巴斯基此前还曾将 AppleJeus 恶意软件的使用归咎于另一个名为BlueNoroff的 Lazarus 子组织(又名 APT38、Nickel Gladstone 和 Stardust Chollima),这表明这些威胁行为者之间共享基础设施和工具集。
微软威胁情报团队表示:“Citrine Sleet 总部位于朝鲜,主要针对金融机构,特别是管理加密货币的组织和个人,以获取经济利益。”
“作为社会工程策略的一部分,Citrine Sleet 对加密货币行业及其相关个人进行了广泛的侦察。”
攻击链通常涉及建立伪装成合法加密货币交易平台的虚假网站,试图诱骗用户安装武器化的加密货币钱包或交易应用程序,以协助盗窃数字资产。
Citrine Sleet 观察到的零日漏洞攻击涉及利用CVE-2024-7971,这是 V8 JavaScript 和 WebAssembly 引擎中的一个高严重性类型混淆漏洞,可让威胁行为者在沙盒 Chromium 渲染器进程中获得远程代码执行 (RCE)。Google 已在上周发布的更新中修补了该漏洞。
据 The Hacker News 此前报道,CVE-2024-7971 是继CVE-2024-4947和CVE-2024-5274之后,谷歌今年解决的第三个被积极利用的 V8 类型混淆漏洞。
目前尚不清楚这些攻击的范围有多广或目标是谁,但据说受害者可能是通过社会工程技术被引导到一个名为 voyagorclub[.]space 的恶意网站,从而触发 CVE-2024-7971 漏洞利用。
而 RCE 漏洞则为检索包含 Windows 沙箱逃逸漏洞 (CVE-2024-38106) 的 shellcode 和 FudModule rootkit 铺平了道路,后者用于“建立从管理员到内核的 Windows 系统访问权限,以允许读/写原始函数并执行 [直接内核对象操作]”。
CVE-2024-38106 是一个 Windows 内核特权提升漏洞,是微软在 2024 年 8 月补丁星期二更新中修复的六个被积极利用的安全漏洞之一。尽管如此,与 Citrine Sleet 相关的漏洞利用被发现发生在修复发布之后。
微软表示:“这可能意味着存在‘漏洞碰撞’,即同一个漏洞由不同的威胁行为者独立发现,或者一名漏洞研究人员将该漏洞的知识分享给多名行为者。”
CVE-2024-7971 也是朝鲜威胁行为者今年利用的第三个漏洞,用于投放 FudModule 根工具包。此前的两个漏洞是CVE-2024-21338 和 CVE-2024-38193。这两个漏洞都是两个内置 Windows 驱动程序(appid.sys 和 AFD.sys)中的权限提升漏洞,已分别于 2 月和 8 月被微软修复。
该公司表示:“CVE-2024-7971 漏洞链依赖多个组件来攻击目标,如果任何一个组件被阻止,包括 CVE-2024-38106,则此攻击链就会失败。”
“零日漏洞不仅需要保持系统更新,还需要提供跨网络攻击链统一可见性的安全解决方案,以检测和阻止入侵后的攻击者工具和攻击后的恶意活动。”
原文始发于微信公众号(Ots安全):朝鲜黑客通过 Chrome 零日漏洞部署 FudModule Rootkit
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论