导 读
朝鲜 Lazarus 黑客组织通过一款针对加密货币领域参与者的虚假去中心化金融 (DeFi) 游戏,利用了 Google Chrome 0day漏洞 (CVE-2024-4947)。
卡巴斯基于 2024 年 5 月 13 日发现了这些攻击,并向谷歌报告了 Chrome 0day漏洞。
谷歌于5月25日发布了针对CVE-2024-4947的修复,Chrome版本为125.0.6422.60/.61。
Lazarus 篡改一款坦克游戏
卡巴斯基在其一位俄罗斯客户的个人电脑上检测到“Manuscrypt”后门恶意软件的新变种后,发现了这一始于 2024 年 2 月的活动。
Lazarus 多年来一直在使用 Manuscrypt,但研究人员对威胁组织非典型的目标范围很感兴趣,其目标范围似乎包括随机个体。
进一步的遥测显示,在检测到新的 Manuscrypt 有效载荷之前,Google Chrome 就已被利用,利用源自“detankzone[.]com”网站。该网站推广了一款以坦克为主题的基于 NFT 的多人在线战斗竞技场 (MOBA) 游戏,名为 DeTankZone。
Lazarus 通过 X 等社交媒体平台上的广告活动、鱼叉式网络钓鱼电子邮件和用于直接攻击高价值目标的高级 LinkedIn 帐户大力推广该游戏。
在下载并保留对该游戏进行工程设计后,卡巴斯基发现该游戏是基于从一款名为 DeFiTankLand 的合法游戏中窃取的源代码,而 Lazarus 只是为了他们的目的而对其进行了重新命名。
400MB 的 ZIP 下载按预期启动,但由于游戏的后端基础设施已关闭,因此无法通过登录/注册屏幕。此外,它没有在目标系统上执行任何恶意操作。
Google Chrome 漏洞利用发生在 detankzone[.]com 网站本身,其中包含一个隐藏脚本 (index.tsx),旨在触发 CVE-2024-4947 漏洞,这是 Chrome 的 Javascript 引擎 V8 中的类型混淆。
Lazarus 在诱饵网站上的攻击行为
Lazarus 的漏洞脚本利用应用程序的 JIT 编译器 Maglev 破坏了 Chrome 的内存,覆盖了部分内容,最终使他们能够访问 Chrome 进程的整个地址空间。
在此阶段,攻击者可以访问 cookie、身份验证令牌、保存的密码和浏览历史记录。
Chrome 的 V8 沙盒将 JavaScript 执行与系统的其余部分隔离,因此 Lazarus 利用 V8 中的第二个缺陷逃脱并实现远程代码执行,在系统内存中执行 shellcode。
卡巴斯基在谈到 V8 逃逸漏洞时解释道:“此问题 (330404819) 已于 2024 年 3 月提交并修复。”
“目前尚不清楚这是否是一次漏洞碰撞,攻击者首先发现并最初将其作为 0day 漏洞加以利用,还是最初将其作为 1 日漏洞加以利用。”
Lazarus 使用的 shellcode 是一种侦察工具,可帮助攻击者确定受感染的机器是否具有足够的价值来继续攻击。
它收集 CPU、BIOS 和 OS 信息,执行反 VM 和反调试检查,并将信息发送到 Lazarus 的命令和控制 (C2) 服务器。
卡巴斯基没有机会检查后续的攻击步骤,因为在他们进行分析时,Lazarus 已经从诱饵站点中删除了他们的漏洞利用工具。
根据恶意活动所针对的人员及其过去的历史,此次攻击的最终目标很可能是窃取加密货币。
新闻链接:
https://www.bleepingcomputer.com/news/security/lazarus-hackers-used-fake-defi-game-to-exploit-google-chrome-zero-day/
今日安全资讯速递
APT事件
Advanced Persistent Threat
微软警告称外国虚假信息正从各个方向影响美国大选
https://www.wired.com/story/microsoft-russia-china-iran-election-disinformation/
美情报官员表示:俄罗斯网络部队可能煽动选举后暴力事件
https://cybernews.com/news/us-intelligence-russia-post-election-violence/
针对乌克兰政府和军队的最新攻击活动中使用了恶意 RDP 文件
https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/
Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞
https://www.bleepingcomputer.com/news/security/lazarus-hackers-used-fake-defi-game-to-exploit-google-chrome-zero-day/
一般威胁事件
General Threat Incidents
数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥
https://www.bleepingcomputer.com/news/security/aws-azure-auth-keys-found-in-android-and-ios-apps-used-by-millions/
像素完美的 Ghostpulse 恶意软件加载程序隐藏在 PNG 图像文件中
https://www.theregister.com/2024/10/22/ghostpulse_malware_loader_png/
Cyble Sensors 发现针对 Java 框架和 IoT 设备的网络攻击
https://thecyberexpress.com/cyble-vulnerability-intelligence-2/
高风险 ICS 漏洞导致 ICONICS 和三菱电机产品面临数据泄露风险
https://thecyberexpress.com/iconics-and-mitsubishi-electric-vulnerability/
新恶意软件 WarmCookie 通过恶意垃圾邮件和恶意广告活动积极传播
https://www.infosecurity-magazine.com/news/malware-warmcookie-users-malicious/
NotLockBit 勒索软件可攻击 macOS 设备
https://www.securityweek.com/notlockbit-ransomware-can-target-macos-devices/
新型 Grandoreiro 银行恶意软件变种出现,采用先进策略逃避检测
https://thehackernews.com/2024/10/new-grandoreiro-banking-malware.html
勒索软件团伙利用 LockBit 的名气在最近的攻击中恐吓受害者
https://thehackernews.com/2024/10/ransomware-gangs-use-lockbits-fame-to.html
Gophish 框架用于网络钓鱼活动以部署远程访问木马
https://thehackernews.com/2024/10/gophish-framework-used-in-phishing.html
网络犯罪分子利用 Docker API 服务器进行 SRBMiner 加密货币挖矿攻击
https://thehackernews.com/2024/10/cybercriminals-exploiting-docker-api.html
漏洞事件
Vulnerability Incidents
Bitdefender 产品中发现多个高危漏洞
https://thecyberexpress.com/bitdefender-vulnerabilities/
CISA 警告近期 Microsoft SharePoint RCE 漏洞遭利用
https://www.securityweek.com/cisa-warns-recent-microsoft-sharepoint-rce-flaw-exploited-in-attacks/
Styra OPA 中的安全漏洞将 NTLM 哈希暴露给远程攻击者
https://thehackernews.com/2024/10/security-flaw-in-styras-opa-exposes.html
Fortinet 确认存在针对 FortiManager 系统的0day漏洞的在野攻击
https://www.securityweek.com/fortinet-confirms-zero-day-exploit-targeting-fortimanager-systems/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Lazarus 黑客通过一款虚假 DeFi 游戏利用Chrome 0day漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论