上个月，一名隶属于朝鲜情报机构的威胁行为者利用两个新漏洞试图从加密货币行业窃取资金。

大多数金融网络犯罪是由一些中级和低级别的网络罪犯所为，他们寻求快速获利。然而，据美国当局表示，朝鲜的情况并非如此，其对西方私营企业实施的复杂、涉及数百万甚至数十亿美元的网络攻击帮助资助了其核武器计划。

其最新的行动是迄今为止最先进的一次，首先在Windows和Chromium浏览器中串联利用之前未知的问题，然后加入rootkit以获得深层系统访问权限，从而对目标进行盗窃。

第 1 步：积极利用 Chromium 零日漏洞

8 月 21 日，谷歌发布了 Chrome 的更新，其中包括 38 个安全修复程序。不过，其中的亮点是 CVE-2024-7971。

CVE-2024-7971 是在 Chrome 和其他基于 Chromium 的浏览器中运行 JavaScript 的 V8 引擎中的一个类型混淆问题。通过使用特制的 HTML 页面，攻击者可以破坏浏览器的内存堆，并利用它来获得远程代码执行 （RCE） 功能。该问题获得了 CVSS 评级中的 8.8 分（满分 10 分）的“高”严重性。

不仅这个漏洞很严重，而且还被积极利用。

Microsoft — 其威胁情报中心 （MSTIC） 和安全响应中心 （MSRC） 最初向 Google 报告了该问题 — 现在已经在字里行间进行了着色。 在 8 月 30 日的一篇博文中，Microsoft 透露，朝鲜侦察总局 121 局内的一个实体——一个被追踪为 Citrine Sleet（又名 AppleJeus、Labyrinth Chollima、UNC4736 和 Hidden Cobra）的 APT——在针对加密公司以获取经济利益的活动中使用了 CVE-2024-7971。

Microsoft 拒绝向 Dark Reading 提供有关该活动的受害者或对这些受害者的后果的更多信息。

第 2 步：Windows 内核漏洞

典型的 Citrine Sleet 攻击以金融机构为目标，它从一个伪装成加密货币交易平台的虚假网站开始。它可以将该网站用作虚假职位空缺的启动板，或诱骗受害者下载带有其自定义木马 AppleJeus 的虚假加密钱包或交易应用程序。

在最近的这次活动中，受害者通过未知的社会工程策略被引诱到域名 voyagorclub[.]空间。那些连接到该域的人会自动触发 Chromium 中的零日内存损坏漏洞。

Citrine Sleet 几乎不满足于单个高严重性错误，将其 Chromium RCE 漏洞链接到第二个高严重性错误 CVE-2024-38106。CVE-2024-38106 是 Windows 内核中的权限提升，允许攻击者获得有价值的系统级权限。（其 CVSS 分数为 7.0，这可归因于其复杂性，以及它对目标计算机的现有本地访问的要求。

Microsoft 于 8 月 13 日修补了 CVE-2024-38106，距离发现最新的黄水晶雨夹雪活动不到一周。值得注意的是，它最近似乎也被一个完全不同的威胁行为者利用了。

第 3 步：获利？

“攻击链从直接破坏沙盒 Chrome 渲染器进程转变为破坏 Windows 内核，而不是以 Chrome 浏览器进程为目标，”Menlo Security 的首席安全架构师 Lionel Litty 解释说。“这意味着使用观察 Chrome 应用程序行为的工具检测异常的机会非常有限。”

“他补充说，”一旦进入内核，攻击者就处于一个公平的竞争环境中，端点上的安全工具，甚至可能占上风，检测到它们变得非常具有挑战性。

作为其权限提升的一部分，Citrine Sleet 部署了 FudModule，这是它与 APT Diamond Sleet 共享的 rootkit。FudModule 使用直接内核对象操作 （DKOM） 技术来优化内核安全检查，自三年前首次发现以来，至少在两个值得注意的实例中得到了改进。例如，今年早些时候，Avast 研究人员指出，它在 Microsoft Defender、Crowdstrike Falcon 和 HitmanPro 中具有破坏受保护流程轻量级 （PPL） 进程的新功能。

在到达目标系统的最内层后，Citrine Sleet 通常会部署其 AppleJeus 木马。AppleJeus 旨在获取窃取受害者的加密货币和加密货币相关资产所需的信息。

尽管如此，“在一些黑市中，Chrome 中的远程代码执行成本高达 100,000 美元——准确地说是 150,000 美元，”Avast 威胁情报总监 Michal Salát 指出。“Lazarus 在这些漏洞上消耗的金额相当大。我们在这里问自己的问题是：这对他们来说有多可持续？