Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞

admin 2024年10月24日10:23:06评论14 views字数 3615阅读12分3秒阅读模式

导 

朝鲜 Lazarus 黑客组织通过一款针对加密货币领域参与者的虚假去中心化金融 (DeFi) 游戏,利用了 Google Chrome 0day漏洞 (CVE-2024-4947)。

Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞

卡巴斯基于 2024 年 5 月 13 日发现了这些攻击,并向谷歌报告了 Chrome 0day漏洞。

谷歌于5月25日发布了针对CVE-2024-4947的修复,Chrome版本为125.0.6422.60/.61。

Lazarus 篡改一款坦克游戏

卡巴斯基在其一位俄罗斯客户的个人电脑上检测到“Manuscrypt”后门恶意软件的新变种后,发现了这一始于 2024 年 2 月的活动。

Lazarus 多年来一直在使用 Manuscrypt,但研究人员对威胁组织非典型的目标范围很感兴趣,其目标范围似乎包括随机个体。

进一步的遥测显示,在检测到新的 Manuscrypt 有效载荷之前,Google Chrome 就已被利用,利用源自“detankzone[.]com”网站。该网站推广了一款以坦克为主题的基于 NFT 的多人在线战斗竞技场 (MOBA) 游戏,名为 DeTankZone。

Lazarus 通过 X 等社交媒体平台上的广告活动、鱼叉式网络钓鱼电子邮件和用于直接攻击高价值目标的高级 LinkedIn 帐户大力推广该游戏。

在下载并保留对该游戏进行工程设计后,卡巴斯基发现该游戏是基于从一款名为 DeFiTankLand 的合法游戏中窃取的源代码,而 Lazarus 只是为了他们的目的而对其进行了重新命名。

400MB 的 ZIP 下载按预期启动,但由于游戏的后端基础设施已关闭,因此无法通过登录/注册屏幕。此外,它没有在目标系统上执行任何恶意操作。

Google Chrome 漏洞利用发生在 detankzone[.]com 网站本身,其中包含一个隐藏脚本 (index.tsx),旨在触发 CVE-2024-4947 漏洞,这是 Chrome 的 Javascript 引擎 V8 中的类型混淆。

Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞

Lazarus 在诱饵网站上的攻击行为

Lazarus 的漏洞脚本利用应用程序的 JIT 编译器 Maglev 破坏了 Chrome 的内存,覆盖了部分内容,最终使他们能够访问 Chrome 进程的整个地址空间。

在此阶段,攻击者可以访问 cookie、身份验证令牌、保存的密码和浏览历史记录。

Chrome 的 V8 沙盒将 JavaScript 执行与系统的其余部分隔离,因此 Lazarus 利用 V8 中的第二个缺陷逃脱并实现远程代码执行,在系统内存中执行 shellcode。

卡巴斯基在谈到 V8 逃逸漏洞时解释道:“此问题 (330404819) 已于 2024 年 3 月提交并修复。”

“目前尚不清楚这是否是一次漏洞碰撞,攻击者首先发现并最初将其作为 0day 漏洞加以利用,还是最初将其作为 1 日漏洞加以利用。”

Lazarus 使用的 shellcode 是一种侦察工具,可帮助攻击者确定受感染的机器是否具有足够的价值来继续攻击。

它收集 CPU、BIOS 和 OS 信息,执行反 VM 和反调试检查,并将信息发送到 Lazarus 的命令和控制 (C2) 服务器。

卡巴斯基没有机会检查后续的攻击步骤,因为在他们进行分析时,Lazarus 已经从诱饵站点中删除了他们的漏洞利用工具。

根据恶意活动所针对的人员及其过去的历史,此次攻击的最终目标很可能是窃取加密货币。

新闻链接:

https://www.bleepingcomputer.com/news/security/lazarus-hackers-used-fake-defi-game-to-exploit-google-chrome-zero-day/

Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞

今日安全资讯速递

APT事件

Advanced Persistent Threat

微软警告称外国虚假信息正从各个方向影响美国大选

https://www.wired.com/story/microsoft-russia-china-iran-election-disinformation/

美情报官员表示:俄罗斯网络部队可能煽动选举后暴力事件

https://cybernews.com/news/us-intelligence-russia-post-election-violence/

针对乌克兰政府和军队的最新攻击活动中使用了恶意 RDP 文件

https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/

Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞

https://www.bleepingcomputer.com/news/security/lazarus-hackers-used-fake-defi-game-to-exploit-google-chrome-zero-day/

一般威胁事件

General Threat Incidents

数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

https://www.bleepingcomputer.com/news/security/aws-azure-auth-keys-found-in-android-and-ios-apps-used-by-millions/

像素完美的 Ghostpulse 恶意软件加载程序隐藏在 PNG 图像文件中

https://www.theregister.com/2024/10/22/ghostpulse_malware_loader_png/

Cyble Sensors 发现针对 Java 框架和 IoT 设备的网络攻击

https://thecyberexpress.com/cyble-vulnerability-intelligence-2/

高风险 ICS 漏洞导致 ICONICS 和三菱电机产品面临数据泄露风险

https://thecyberexpress.com/iconics-and-mitsubishi-electric-vulnerability/

新恶意软件 WarmCookie 通过恶意垃圾邮件和恶意广告活动积极传播

https://www.infosecurity-magazine.com/news/malware-warmcookie-users-malicious/

NotLockBit 勒索软件可攻击 macOS 设备

https://www.securityweek.com/notlockbit-ransomware-can-target-macos-devices/

新型 Grandoreiro 银行恶意软件变种出现,采用先进策略逃避检测
https://thehackernews.com/2024/10/new-grandoreiro-banking-malware.html

勒索软件团伙利用 LockBit 的名气在最近的攻击中恐吓受害者

https://thehackernews.com/2024/10/ransomware-gangs-use-lockbits-fame-to.html

Gophish 框架用于网络钓鱼活动以部署远程访问木马

https://thehackernews.com/2024/10/gophish-framework-used-in-phishing.html

网络犯罪分子利用 Docker API 服务器进行 SRBMiner 加密货币挖矿攻击

https://thehackernews.com/2024/10/cybercriminals-exploiting-docker-api.html

漏洞事件

Vulnerability Incidents

Bitdefender 产品中发现多个高危漏洞

https://thecyberexpress.com/bitdefender-vulnerabilities/

CISA 警告近期 Microsoft SharePoint RCE 漏洞遭利用

https://www.securityweek.com/cisa-warns-recent-microsoft-sharepoint-rce-flaw-exploited-in-attacks/

Styra OPA 中的安全漏洞将 NTLM 哈希暴露给远程攻击者

https://thehackernews.com/2024/10/security-flaw-in-styras-opa-exposes.html

Fortinet 确认存在针对 FortiManager 系统的0day漏洞的在野攻击

https://www.securityweek.com/fortinet-confirms-zero-day-exploit-targeting-fortimanager-systems/

Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月24日10:23:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞http://cn-sec.com/archives/3308418.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息