找回密码 立即注册
查看: 116|回复: 0

朝鲜黑客通过 Chrome 零日漏洞部署 FudModule Rootkit

[复制链接]

412

主题

1382

回帖

4180

积分

卡卡巡查

积分
4180
发表于 2024-9-3 16:10:33 | 显示全部楼层 |阅读模式

最近修补的 Google Chrome 和其他 Chromium Web 浏览器中的安全漏洞被朝鲜行为者利用为零日漏洞,用于提供 FudModule rootkit。

这一发展表明了民族国家对手的不懈努力,近几个月来,它已经养成了将大量 Windows 零日漏洞纳入其武器库的习惯。

Microsoft 于 2024 年 8 月 19 日检测到该活动,并将其归因于其跟踪的威胁行为者 Citrine Sleet(以前称为 DEV-0139 和 DEV-1222),也称为 AppleJeus、Labyrinth Chollima、Nickel Academy 和 UNC4736。它被评估为 Lazarus 组(又名 Diamond Sleet 和 Hidden Cobra)中的一个子星团。

值得一提的是,卡巴斯基此前还将 AppleJeus 恶意软件的使用归因于另一个名为 BlueNoroff(又名 APT38、Nickel Gladstone 和 Stardust Chollima)的 Lazarus 子组,这表明这些威胁行为者之间共享基础设施和工具集。

“Citrine Sleet 总部位于朝鲜,主要针对金融机构,特别是管理加密货币的组织和个人,以获取经济利益,”Microsoft 威胁情报团队表示。

“作为其社会工程策略的一部分,Citrine Sleet 对加密货币行业和与之相关的个人进行了广泛的侦察。”

攻击链通常涉及建立伪装成合法加密货币交易平台的虚假网站,旨在诱骗用户安装武器化的加密货币钱包或交易应用程序,从而促进数字资产的盗窃。

Citrine Sleet 观察到的零日漏洞利用攻击涉及对 CVE-2024-7971 的利用,这是 V8 JavaScript 和 WebAssembly 引擎中的一个高严重性类型混淆漏洞,可能允许威胁行为者在沙盒 Chromium 渲染器进程中获得远程代码执行 (RCE)。它是由 Google 作为上周发布的更新的一部分修补的。

正如 The Hacker News 之前所说,CVE-2024-7971 是继 CVE-2024-4947 和 CVE-2024-5274 之后,Google 今年解决的 V8 中第三个被积极利用的类型混淆错误。

目前尚不清楚这些攻击的范围有多广,也不清楚谁是目标,但据说受害者已被定向到一个名为 voyagorclub[.] 的恶意网站。空间,从而触发 CVE-2024-7971 漏洞。

就其本身而言,RCE 漏洞为检索包含 Windows 沙盒逃逸漏洞 (CVE-2024-38106) 和 FudModule rootkit 的 shellcode 铺平了道路,该漏洞用于“建立对基于 Windows 的系统的管理员到内核访问,以允许读/写基元函数并执行 [直接内核对象操作]”。

CVE-2024-38106 是一个 Windows 内核权限提升错误,是 Microsoft 在其 2024 年 8 月补丁星期二更新中修复的六个积极利用的安全漏洞之一。也就是说,已发现与 Citrine Sleet 相关的漏洞利用发生在修复程序发布后。

“这可能表明存在’漏洞冲突’,即相同的漏洞由不同的威胁行为者独立发现,或者一个漏洞研究人员将漏洞知识分享给多个行为者,”Microsoft 表示。

CVE-2024-7971 也是继 CVE-2024-21338 和 CVE-2024-38193 之后,朝鲜威胁行为者今年利用的第三个漏洞来删除 FudModule rootkit,这两个漏洞都是两个内置 Windows 驱动程序(appid.sys 和 AFD.sys)中的权限提升缺陷,并由 Microsoft 于 2 月和 8 月修复。

“CVE-2024-7971 漏洞利用链依靠多个组件来破坏目标,如果这些组件中的任何一个被阻止,包括 CVE-2024-38106,这个攻击链就会失败,”该公司表示。

“零日漏洞不仅需要使系统保持最新状态,还需要安全解决方案,为整个网络攻击链提供统一的可见性,以检测和阻止入侵后的攻击者工具和利用后的恶意活动。”


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


快速回复 返回顶部 返回列表