最近修补的 Google Chrome 和其他 Chromium Web 浏览器中的安全漏洞被朝鲜行为者利用为零日漏洞,用于提供 FudModule rootkit。
这一发展表明了民族国家对手的不懈努力,近几个月来,它已经养成了将大量 Windows 零日漏洞纳入其武器库的习惯。
Microsoft 于 2024 年 8 月 19 日检测到该活动,并将其归因于其跟踪的威胁行为者 Citrine Sleet(以前称为 DEV-0139 和 DEV-1222),也称为 AppleJeus、Labyrinth Chollima、Nickel Academy 和 UNC4736。它被评估为 Lazarus 组(又名 Diamond Sleet 和 Hidden Cobra)中的一个子星团。
值得一提的是,卡巴斯基此前还将 AppleJeus 恶意软件的使用归因于另一个名为 BlueNoroff(又名 APT38、Nickel Gladstone 和 Stardust Chollima)的 Lazarus 子组,这表明这些威胁行为者之间共享基础设施和工具集。
“Citrine Sleet 总部位于朝鲜,主要针对金融机构,特别是管理加密货币的组织和个人,以获取经济利益,”Microsoft 威胁情报团队表示。
“作为其社会工程策略的一部分,Citrine Sleet 对加密货币行业和与之相关的个人进行了广泛的侦察。”
攻击链通常涉及建立伪装成合法加密货币交易平台的虚假网站,旨在诱骗用户安装武器化的加密货币钱包或交易应用程序,从而促进数字资产的盗窃。
Citrine Sleet 观察到的零日漏洞利用攻击涉及对 CVE-2024-7971 的利用,这是 V8 JavaScript 和 WebAssembly 引擎中的一个高严重性类型混淆漏洞,可能允许威胁行为者在沙盒 Chromium 渲染器进程中获得远程代码执行 (RCE)。它是由 Google 作为上周发布的更新的一部分修补的。
正如 The Hacker News 之前所说,CVE-2024-7971 是继 CVE-2024-4947 和 CVE-2024-5274 之后,Google 今年解决的 V8 中第三个被积极利用的类型混淆错误。
目前尚不清楚这些攻击的范围有多广,也不清楚谁是目标,但据说受害者已被定向到一个名为 voyagorclub[.] 的恶意网站。空间,从而触发 CVE-2024-7971 漏洞。
就其本身而言,RCE 漏洞为检索包含 Windows 沙盒逃逸漏洞 (CVE-2024-38106) 和 FudModule rootkit 的 shellcode 铺平了道路,该漏洞用于“建立对基于 Windows 的系统的管理员到内核访问,以允许读/写基元函数并执行 [直接内核对象操作]”。
CVE-2024-38106 是一个 Windows 内核权限提升错误,是 Microsoft 在其 2024 年 8 月补丁星期二更新中修复的六个积极利用的安全漏洞之一。也就是说,已发现与 Citrine Sleet 相关的漏洞利用发生在修复程序发布后。
“这可能表明存在’漏洞冲突’,即相同的漏洞由不同的威胁行为者独立发现,或者一个漏洞研究人员将漏洞知识分享给多个行为者,”Microsoft 表示。
CVE-2024-7971 也是继 CVE-2024-21338 和 CVE-2024-38193 之后,朝鲜威胁行为者今年利用的第三个漏洞来删除 FudModule rootkit,这两个漏洞都是两个内置 Windows 驱动程序(appid.sys 和 AFD.sys)中的权限提升缺陷,并由 Microsoft 于 2 月和 8 月修复。
“CVE-2024-7971 漏洞利用链依靠多个组件来破坏目标,如果这些组件中的任何一个被阻止,包括 CVE-2024-38106,这个攻击链就会失败,”该公司表示。
“零日漏洞不仅需要使系统保持最新状态,还需要安全解决方案,为整个网络攻击链提供统一的可见性,以检测和阻止入侵后的攻击者工具和利用后的恶意活动。”