朝鲜黑客通过 Chrome 零日漏洞部署 FudModule Rootkit

朝鲜攻击者利用 Google Chrome 和其他 Chromium 网络浏览器中最近修补的安全漏洞作为零日漏洞，发起旨在传播 FudModule 根工具包的活动。

这一进展表明了民族国家对手的不懈努力，近几个月来，他们已习惯将大量 Windows 零日漏洞纳入其武器库。

微软于 2024 年 8 月 19 日检测到该活动，并将其归咎于其追踪的威胁行为者Citrine Sleet（以前称为 DEV-0139 和 DEV-1222），该威胁行为者也称为 AppleJeus、Labyrinth Chollima、Nickel Academy 和UNC4736。它被评估为 Lazarus Group（又名 Diamond Sleet 和 Hidden Cobra）内的一个子集群。

值得一提的是，卡巴斯基此前还曾将 AppleJeus 恶意软件的使用归咎于另一个名为BlueNoroff的 Lazarus 子组织（又名 APT38、Nickel Gladstone 和 Stardust Chollima），这表明这些威胁行为者之间共享基础设施和工具集。

微软威胁情报团队表示：“Citrine Sleet 总部位于朝鲜，主要针对金融机构，特别是管理加密货币的组织和个人，以获取经济利益。”

“作为社会工程策略的一部分，Citrine Sleet 对加密货币行业及其相关个人进行了广泛的侦察。”

攻击链通常涉及建立伪装成合法加密货币交易平台的虚假网站，试图诱骗用户安装武器化的加密货币钱包或交易应用程序，以协助盗窃数字资产。

Citrine Sleet 观察到的零日漏洞攻击涉及利用CVE-2024-7971，这是 V8 JavaScript 和 WebAssembly 引擎中的一个高严重性类型混淆漏洞，可让威胁行为者在沙盒 Chromium 渲染器进程中获得远程代码执行 (RCE)。Google 已在上周发布的更新中修补了该漏洞。

据 The Hacker News 此前报道，CVE-2024-7971 是继CVE-2024-4947和CVE-2024-5274之后，谷歌今年解决的第三个被积极利用的 V8 类型混淆漏洞。

目前尚不清楚这些攻击的范围有多广或目标是谁，但据说受害者可能是通过社会工程技术被引导到一个名为 voyagorclub[.]space 的恶意网站，从而触发 CVE-2024-7971 漏洞利用。

而 RCE 漏洞则为检索包含 Windows 沙箱逃逸漏洞 (CVE-2024-38106) 的 shellcode 和 FudModule rootkit 铺平了道路，后者用于“建立从管理员到内核的 Windows 系统访问权限，以允许读/写原始函数并执行 [直接内核对象操作]”。

CVE-2024-38106 是一个 Windows 内核特权提升漏洞，是微软在 2024 年 8 月补丁星期二更新中修复的六个被积极利用的安全漏洞之一。尽管如此，与 Citrine Sleet 相关的漏洞利用被发现发生在修复发布之后。

微软表示：“这可能意味着存在‘漏洞碰撞’，即同一个漏洞由不同的威胁行为者独立发现，或者一名漏洞研究人员将该漏洞的知识分享给多名行为者。”

CVE-2024-7971 也是朝鲜威胁行为者今年利用的第三个漏洞，用于投放 FudModule 根工具包。此前的两个漏洞是CVE-2024-21338 和 CVE-2024-38193。这两个漏洞都是两个内置 Windows 驱动程序（appid.sys 和 AFD.sys）中的权限提升漏洞，已分别于 2 月和 8 月被微软修复。

该公司表示：“CVE-2024-7971 漏洞链依赖多个组件来攻击目标，如果任何一个组件被阻止，包括 CVE-2024-38106，则此攻击链就会失败。”

“零日漏洞不仅需要保持系统更新，还需要提供跨网络攻击链统一可见性的安全解决方案，以检测和阻止入侵后的攻击者工具和攻击后的恶意活动。”