Lazarus APT 通过诱饵 MOBA 游戏窃取加密货币和用户数据 - 了解 CVE-2024-4947 的故事

介绍

Lazarus APT 及其 BlueNoroff 分支是一个高度复杂且多面的韩语威胁行为者。我们密切监视他们的活动，经常看到他们在攻击中使用他们的标志性恶意软件——一种名为 Manuscrypt 的全功能后门。根据我们的研究，Lazarus 至少从 2013 年开始使用这种恶意软件，我们已记录了它在 50 多个独特活动中的使用情况，这些活动针对的是政府、外交实体、金融机构、军事和国防承包商、加密货币平台、IT 和电信运营商、游戏公司、媒体机构、赌场、大学，甚至安全研究人员——名单还在继续。

2024 年 5 月 13 日，我们的消费级产品卡巴斯基全方位安全软件在俄罗斯的一名用户的个人电脑上检测到了新的 Manuscrypt 感染。由于 Lazarus 很少攻击个人，这引起了我们的兴趣，我们决定仔细研究一下。我们发现，在检测到 Manuscrypt 之前，我们的技术还检测到了来自网站 detankzone[.]com 的对 Google Chrome 网络浏览器的利用。从表面上看，该网站类似于一个专业设计的去中心化金融 (DeFi) 基于 NFT（非同质化代币）的多人在线战斗竞技场 (MOBA) 坦克游戏产品页面，邀请用户下载试用版。但这只是一种伪装。在幕后，该网站有一个隐藏的脚本，该脚本在用户的 Google Chrome 浏览器中运行，启动零日漏洞，让攻击者完全控制受害者的 PC。访问该网站就足以感染病毒——游戏只是一种消遣。

我们成功提取了攻击的第一阶段——一个在 Google Chrome 进程中执行远程代码执行的漏洞。在确认该漏洞基于针对最新版本的 Google Chrome 的零日漏洞后，我们当天就向 Google 报告了我们的发现。两天后，Google 发布了更新并感谢我们发现了这次攻击。

确认发现 CVE-2024-4947（摘自 Chrome 125.0.6422.60 中的安全修复程序）

在向 Google 通报发现的漏洞后，我们遵循负责任的漏洞披露政策，避免公开分享具体细节，让用户有足够的时间应用补丁。这种方法也是为了防止威胁行为者进一步利用漏洞。Google 采取了额外措施，封锁了 detankzone[.]com 和其他与此活动相关的网站，确保任何试图访问这些网站的人（即使没有我们的产品）都会被警告其恶意性质。

虽然我们尊重 Google 要求披露期限的要求，但微软在 2024 年 5 月 28 日发表了一篇博客文章，题为“Moonstone Sleet 成为朝鲜新威胁行为者，并耍了新花招”，部分披露了我们的发现。据该博客称，微软自 2024 年 2 月以来一直在跟踪该活动及其相关网站。然而，他们的分析忽略了恶意活动的一个关键点：浏览器漏洞的存在，以及这是一个高严重性问题——零日漏洞。在本报告中，我们详细探讨了攻击者利用的漏洞以及他们用作诱饵的游戏（剧透警告：我们必须为这款在线游戏开发自己的服务器）。漏洞利用攻击者用来掩护其活动的网站是用 TypeScript/React 开发的，其中一个索引 .tsx文件包含一小段加载和执行 Google Chrome 漏洞的代码。

漏洞利用

攻击者用来掩护其活动的网站是用 TypeScript/React 开发的，其中一个索引 .tsx文件包含一小段加载和执行 Google Chrome 漏洞的代码。

网站外观和隐藏的漏洞加载程序

该漏洞利用代码包含两个漏洞：第一个漏洞用于从 JavaScript 中获取读取和写入 Chrome 进程内存的能力，第二个漏洞用于绕过最近引入的V8 沙盒。

第一个漏洞（CVE-2024-4947）

每个网络浏览器的核心都是其 JavaScript 引擎。Google Chrome 的 JavaScript 引擎称为V8 — Google 自己的开源 JavaScript 引擎。为了降低内存消耗并实现最大速度，V8 使用了相当复杂的 JavaScript 编译管道，目前由一个解释器和三个 JIT 编译器组成。

V8 的 JavaScript 编译管道

当 V8 开始执行 JavaScript 时，它首先将脚本编译为字节码，然后使用名为 Ignition 的解释器执行它。Ignition 是一个基于寄存器的机器，有数百条指令。在执行字节码时，V8 会监视程序的行为，并可能对某些函数进行 JIT 编译以获得更好的性能。最好和最快的代码是由 TurboFan 生成的，这是一个高度优化的编译器，但有一个缺点——代码生成需要太多时间。尽管如此，Ignition 和 TurboFan 之间的性能差异是如此显著，以至于 2021 年推出了一种名为 Sparkplug 的新的非优化 JIT 编译器，它几乎可以立即将字节码编译成等效的机器码。Sparkplug 生成的代码比解释器运行得更快，但 Sparkplug 和 TurboFan 生成的代码之间的性能差距仍然很大。因此，在 Chrome 117（2023 年第四季度发布）中，开发人员引入了一个新的优化编译器 Maglev，其目标是通过仅根据解释器的反馈进行优化来足够快地生成足够好的代码。CVE-2024-4947（问题340221135）是这个新编译器中的漏洞。

为了了解此漏洞及其如何被利用，让我们来看看攻击者用来触发该漏洞的代码。

import * as moduleImport from 'export var exportedVar = 23;';
 
function trigger() {
  moduleImport.exportedVar;
  const emptyArray = [1, 2]; 
  emptyArray.pop(); 
  emptyArray.pop();
  const arrHolder = {xxarr: doubleArray, xxab: fakeArrayBuffer};

  function f() {
    try {
      moduleImport.exportedVar = 3.79837e-312;
    } catch (e) { return false; }
    return true;
  }

  while (!f()) { }

  weakRef = new WeakRef(moduleImport);
  return {emptyArray, arrHolder};
}

攻击者用于触发 CVE-2024-4947 的代码

从这段代码中我们可以看到，它首先访问了moduleImport模块的 导出变量 exportedVar，然后创建了 emptyArray数组和 arrHolder字典。然而，看起来它们似乎并没有做任何真正的工作，它们只是被函数 trigger返回了。然后有趣的事情发生了——f 函数一直执行直到返回“true”。然而，只有当它可以将导出变量 moduleImport.exportedVar设置为“3.79837e- 312 ”的值时，此函数才返回“true”，如果因此而发生异常， f函数将返回“false” 。为什么执行相同的表达式 moduleImport.exportedVar = 3.79837e - 312 ;应该一直返回“false”直到它返回“true”呢？

LdaImmutableCurrentContextSlot [53]
Star1
LdaConstant [0]
SetNamedProperty r1, [1], [0] // moduleImport.exportedVar = 3.79837e-312;

Ignition 解释器为“moduleImport.exportedVar = 3.79837e-312;”生成的字节码

如果我们查看 Ignition 为该表达式生成的字节码以及 SetNamedProperty指令处理程序的代码（该代码应该将此变量设置为“3.79837e-312”值），我们可以看到它将始终引发异常 - 根据 ECMAScript 规范，在模块对象中存储始终是 JavaScript 中的错误。

mov rax, 309000D616Dh // JS object ptr for "moduleImport"
mov edi, [rax+3] 
add     rdi, r14 
mov rax, 309001870B5h // JS object ptr for "3.79837e-312"
mov [rdi-1], eax

Maglev 为“moduleImport.exportedVar = 3.79837e-312;”生成的 JIT 代码

但是，如果我们等到这个字节码被执行了足够多次，并且 V8 决定使用 Maglev 编译器对其进行编译，我们会看到生成的机器码不会抛出异常，但实际上会在 moduleImport对象的某个位置设置此属性。发生这种情况的原因是缺少对存储到模块导出的检查——这是 CVE-2024-4947 漏洞（您可以在此处找到修复程序）。攻击者如何利用它？要回答这个问题，我们需要了解 JavaScript 对象在内存中的表示方式。

JS 对象的结构

所有 JS 对象都以指向特殊对象（称为Map，也称为 HiddenClass ）的指针开头 ，该对象存储有关对象的元信息并描述其结构。它包含对象的类型（存储在 +8 偏移量处）、属性数量等。

“moduleImport” JS 对象的结构

moduleImport模块 在内存中表示为 JSReceiver对象，它是最通用的 JS 对象，用于可定义属性的类型。它包含一个指向属性数组 ( PropertyArray ) 的指针，该数组基本上是具有自己的 Map 的FixedArray类型的常规 JS 对象 。如果在表达式 moduleImport .exportedVar = 3.79837e - 312 ; moduleImport不是模块而是常规对象，则代码会在该数组中设置属性 #0，并在+8 偏移处写入；但是，由于它是一个模块并且存在错误，因此代码会设置此属性，并在 +0 偏移处写入，并用 提供的对象覆盖Map对象。

“3.79837e-312”数字 JS 对象的结构

由于 3.79837e-312 是浮点数，因此它会被转换为 64 位值（根据 IEEE 754 标准）并存储在 HeapNumber JS 对象中 +4 偏移量的位置。这样攻击者就可以为 PropertyArray对象设置自己的类型，从而造成类型混淆。将类型设置为 0xB2 会导致 V8 将 PropertyArray 视为 PropertyDictionary， 从而导致内存损坏，因为 PropertyArray和 PropertyDictionary对象的大小不同，并且 PropertyDictionary的 kLengthAndHashOffset字段超出了PropertyArray的边界 。

现在攻击者需要获取正确的内存布局并破坏一些有用的东西。他们对堆进行碎片整理并执行您可以在触发函数中看到的操作 。

“trigger”函数创建的内存布局

该函数中发生的情况如下：

1. 它访问导出的模块变量 moduleImport.exportVar来分配 moduleImport的 PropertyArray。

2. 它创建一个 包含两个元素的空数组。

3. 从该数组中删除元素会重新分配用于存储元素的对象，并将 emptyArray的长度设置为 0。这是一个重要的步骤，因为为了 用PropertyDictionary的哈希值覆盖emptyArray的长度 ，长度/哈希值必须等于 0。

4. 触发函数 创建 包含两个对象的arrHolder字典。此步骤在创建 emptyArray之后执行，以便在 emptyArray的长度损坏时访问和覆盖这两个对象的指针。第一个对象 xxarr : doubleArray 用于构造获取 JS 对象地址的原语。第二个对象 xxab : fakeArrayBuffer 用于构造获取对 Chrome 进程的整个地址空间的读/写访问权限的原语。

5. 接下来， 触发函数执行 f函数直到被 Maglev 编译，并覆盖 PropertyArray的类型，使其被视为 PropertyDictionary对象。

6. 执行 new WeakRef ( moduleImport )会触发 PropertyDictionary哈希值的计算 ，并用哈希值覆盖emptyArray的长度 。

7. 触发函数 返回 emptyArray和 arrHolder ，其中包含可以用emptyArray覆盖的对象 。

此后，该漏洞再次滥用了 Maglev，或者更确切地说，它利用了根据解释器收集到的反馈来优化代码这一事实。该漏洞利用 Maglev 编译一个函数，该函数从使用 arrHolder.xxarr 获取的数组中加载一个 双精度值。编译此函数后，攻击者可以 通过 emptyArray[5]覆盖 指向使用arrHolder.xxarr获取的数组的指针，并使用此函数获取 JS 对象的地址。同样，攻击者使用 arrHolder.xxab编译一个函数，该函数设置特定属性并覆盖另一个 ArrayBuffer类型对象的长度以及指向其数据（backing_store_ptr ）的指针。当通过emptyArray [ 6 ]将可通过arrHolder.xxab访问的对象的指针替换为指向 ArrayBuffer 的指针时，这 成为可能 。这 使攻击者可以读写 Chrome 进程的整个地址空间。

第二个漏洞（V8沙箱绕过）

此时，攻击者可以从 JavaScript 中读取和写入内存，但他们需要一个额外的漏洞来绕过新引入的V8（堆）沙箱。这个沙箱纯粹基于软件，其主要功能是隔离 V8 内存（堆），使攻击者无法访问内存的其他部分并执行代码。它是如何做到的？您可能已经注意到，上一节中的所有指针都是 32 位长。这并不是因为我们谈论的是 32 位进程。它是一个 64 位进程，但指针是 32 位长，因为 V8 使用了一种称为指针压缩的技术。指针不是完整存储的，而是仅存储它们的下部，或者也可以将它们看作是某个“基”地址的 32 位偏移量。上部（“基”地址）存储在 CPU 寄存器中，并由代码添加。在这种情况下，攻击者应该无法从隔离内存中获取真实指针，也无法获取堆栈和 JIT 代码页的地址。

为了绕过 V8 沙盒，攻击者利用了一个与解释器相关的有趣但非常常见的漏洞——我们之前已经在多个虚拟机实现中看到了此漏洞的变种。在 V8 中，正则表达式是使用其自己的解释器 Irregexp 和其自己的一组操作码来实现的。Irregexp VM 与 Ignition 完全不同，但它也是一个基于寄存器的 VM。

RegisterT& operator[](size_t index) { return registers_[index]; }
 
BYTECODE(PUSH_REGISTER) {
     ADVANCE(PUSH_REGISTER);
     if (!backtrack_stack.push(registers[LoadPacked24Unsigned(insn)])) {
       return MaybeThrowStackOverflow(isolate, call_origin);
     }
     DISPATCH();
}
 
BYTECODE(SET_REGISTER) {
     ADVANCE(SET_REGISTER);
     registers[LoadPacked24Unsigned(insn)] = Load32Aligned(pc + 4);
     DISPATCH();
}

Irregexp VM 指令处理程序中的易受攻击代码示例

该漏洞的本质是虚拟机拥有固定数量的寄存器和专门用于存储这些寄存器的数组，但寄存器索引是从指令体解码而来的，且未经检查。这允许攻击者访问寄存器数组边界之外的内存。

PUSH_REGISTER r(REGISTERS_COUNT + idx)
POP_REGISTER  r(0)
PUSH_REGISTER r(REGISTERS_COUNT + idx + 1)
POP_REGISTER  r(1)
// Overwrite "output_registers" ptr
SET_REGISTER  r(REGISTERS_COUNT), holderAddressLow
SET_REGISTER  r(REGISTERS_COUNT + 1), holderAddressHigh
// Overwrite "output_register_count"
SET_REGISTER  r(REGISTERS_COUNT + 2), 2
// MemCopy(output_registers_, registers_.data(), output_register_count_ * sizeof(RegisterT));
SUCCEED

用于读取寄存器数组边界之外的内存的恶意 Irregexp VM 字节码

巧合的是，指向output_registers和 output_register_count 的指针 位于寄存器数组的旁边。这允许攻击者在SUCCEED操作码的帮助下读写 V8 沙箱之外的内存 。攻击者利用这一点用 shellcode 覆盖 JIT 代码并执行它。

该问题（330404819）已于 2024 年 3 月提交并修复。目前尚不清楚这是否是一次漏洞碰撞，攻击者首先发现并最初将其作为 0 日漏洞利用，还是最初将其作为 1 日漏洞利用。

外壳代码

此时，攻击者需要更多漏洞来逃离 Chrome 进程并获得对系统的完全访问权限。在老练攻击者的最佳实践中，他们会以 shellcode 的形式运行验证器，以收集尽可能多的信息并将其发送到服务器，以决定是否提供下一阶段（另一个漏洞）。此决定基于以下信息做出：CPUID 信息（供应商、处理器名称等）、是否在 VM 上运行、操作系统版本和版本、处理器数量、滴答计数、操作系统产品类型、是否正在调试、进程路径、系统模块的文件版本信息、进程可执行文件的文件版本信息和 SMBIOS 固件表。

当我们分析攻击时，攻击者已经从诱饵网站上删除了漏洞，使我们无法轻易获取攻击的下一阶段。在卡巴斯基，我们拥有的技术使我们能够发现并帮助修复大量 0-day 权限提升漏洞，这些漏洞多年来被老练的攻击者在各种恶意软件活动中利用；然而，在这个特殊情况下，我们必须等待下一次攻击才能提取其下一阶段。我们决定不再等待，而是选择让 Google 修复用于在 Google Chrome 中执行远程代码执行的初始漏洞。

卡巴斯基过去 10 年捕获并报告的野生 0day 漏洞列表

社交活动

最让我们印象深刻的是 Lazarus APT 为他们的社交工程活动付出的巨大努力。几个月来，攻击者一直在建立自己的社交媒体形象，定期从多个账户在 X（以前称为 Twitter）上发帖，并使用生成式 AI 和图形设计师制作的内容来推广他们的游戏。

攻击者在 X 上的账户

攻击者使用的策略之一是联系加密货币领域的有影响力的人物，让他们推广他们的恶意网站，而且很有可能也会攻击他们。

攻击者试图联系加密货币影响者

攻击者的活动不仅限于 X — 他们还使用带有附加恶意软件的专业设计网站、LinkedIn 上的高级帐户以及通过电子邮件进行鱼叉式网络钓鱼。

游戏

提供下载游戏测试版的恶意网站

此次攻击中，特别引起我们注意的是，恶意网站利用 Google Chrome 零日漏洞攻击其访问者，并邀请他们下载并试用一款电脑游戏的测试版。作为电脑游戏的狂热粉丝，我们立刻就想尝试一下。攻击者是否为这次活动开发了一款真正的游戏？这会不会是威胁行为者开发的第一款电脑游戏？我们下载了 detankzone .zip ，它看起来是合法的：这个 400 MB 的存档文件包含使用 Unity 开发的游戏的有效文件结构。我们解压了游戏的资源，发现了“DeTankZone”徽标、HUD 元素和 3D 模型纹理。调试结果显示该游戏是由攻击者编译的。我们决定试一试。

DeTankZone 游戏的开始菜单

在游戏徽标的介绍之后，我们会看到典型的在线游戏开始菜单，要求我们输入有效的帐户凭据才能访问游戏。我们尝试使用一些常见的帐户名和密码登录，然后尝试通过游戏和网站注册自己的帐户 - 但没有任何效果。

这就是这款游戏的全部功能吗？我们开始对游戏代码进行逆向工程，发现除了这个开始菜单之外，还有更多内容可用。我们找到了负责与游戏服务器通信的代码，并开始对其进行逆向工程。游戏被硬编码为使用在“api.detankzone[.]com”上运行的服务器，这显然不起作用。但我们真的想看看这个游戏！该怎么办？当然，我们决定开发自己的游戏服务器。

首先，我们发现游戏使用 Socket.IO 协议与服务器通信，因此我们选择了 python - socketio库来开发我们自己的服务器。然后，我们找到了一个包含所有受支持的命令名称（事件名称）列表的函数，并逆向分析了它们的混淆方式。之后，我们逆向分析了数据的编码方式：结果发现它是使用 AES256 加密并使用 Base64 编码的 JSON。对于 AES 密钥，它使用字符串“Full Stack IT Service 198703Game”，而字符串“MatGoGameProject”用于 IV。我们希望这些信息可以揭示游戏开发者的身份，但谷歌搜索没有结果。最后，我们对几个命令的数据格式进行了逆向分析，在我们的服务器上实现了它们，并用我们自己的服务器的地址替换了服务器 URL。成功！完成所有这些之后，我们就可以登录游戏并与机器人一起玩了！

使用我们的自定义服务器运行的游戏的屏幕截图

是的，这是一款真正的游戏！我们玩了一会儿，觉得很有趣——它让我们想起了 2000 年代早期的一些共享软件游戏。绝对值得一试。纹理看起来有点俗气，游戏本身与流行的 Unity 教程非常相似，但如果 Lazarus 自己开发了这款游戏，它将为攻击准备设定一个新的标准。但事实并非如此——Lazarus 坚持自我。事实证明，这款游戏的源代码是从其原始开发者那里偷来的。

原版游戏

DeFiTankLand（DFTL）——原创游戏

我们找到了一款合法的游戏，它是攻击者版本的原型——它被称为 DeFiTankLand (DFTL)。研究开发人员的 Telegram 聊天帮助我们建立了攻击的时间线。2024 年 2 月 20 日，攻击者开始了他们的活动，在 X 上宣传他们的游戏。两周后，即 2024 年 3 月 2 日，DeFiTankLand 的货币 DFTL2 币的价格下跌，游戏开发者在他们的 Telegram 上宣布他们的冷钱包被黑客入侵，价值 20,000 美元的 DFTL2 币被盗。开发人员将此归咎于内部人员。无论是否是内部人员，我们都怀疑这是 Lazarus 所为，在窃取硬币之前，他们首先窃取了游戏的源代码，修改了所有徽标和对 DeFiTankLand 的引用，并利用它来使他们的活动更可信。

结论

Lazarus 是最活跃、最老练的 APT 参与者之一，经济利益仍然是他们的主要动机之一。多年来，我们发现了他们对加密货币行业的许多攻击，有一件事是肯定的：这些攻击不会消失。攻击者的策略在不断发展，他们不断想出新的、复杂的社会工程方案。Lazarus 已经成功开始使用生成式人工智能，我们预测他们会利用它发起更复杂的攻击。Lazarus 的攻击特别危险的原因在于他们经常使用零日漏洞。只需单击社交网络或电子邮件中的链接，就可能导致个人计算机或公司网络完全被攻陷。

从历史上看，在 Google Chrome 和其他 Web 浏览器中发现或利用的漏洞中有一半都影响了其编译器。Web 浏览器代码库的巨大变化和新 JIT 编译器的引入不可避免地导致了大量新漏洞。最终用户可以做些什么呢？虽然 Google Chrome 继续添加新的 JIT 编译器，但还有 Microsoft Edge，它完全可以在没有 JIT 的情况下运行。但也可以公平地说，新推出的 V8 沙盒在阻止编译器中的漏洞利用方面可能非常成功。一旦它变得更加成熟，利用 JIT 来利用 Google Chrome 可能与不利用 JIT 来利用 Microsoft Edge 一样困难。

攻击指标

漏洞

B2DC7AEC2C6D2FFA28219AC288E4750C

E5DA4AB6366C5690DFD1BB386C7FE0C78F6ED54F

7353AB9670133468081305BD442F7691CF2F2C1136F09D9508400546C417833A

游戏

8312E556C4EEC999204368D69BA91BF4

7F28AD5EE9966410B15CA85B7FACB70088A17C5F

59A37D7D2BF4CFFE31407EDD286A811D9600B68FE757829E30DA4394AB65A4CC

域名

detankzone[.]com

ccwaterfall[.]com