VietNetwork.Vn

Nhóm tin tặc Triều Tiên có tên Lazarus Group được cho là đã khai thác lỗ hổng bảo mật zero-day hiện đã được vá trong Google Chrome để chiếm quyền kiểm soát các thiết bị bị nhiễm.

Nhà cung cấp an ninh mạng Kaspersky cho biết họ đã phát hiện ra một chuỗi tấn công mới vào tháng 5 năm 2024 nhắm vào máy tính cá nhân của một công dân Nga giấu tên bằng cửa hậu Manuscrypt.


Điều này đòi hỏi phải kích hoạt khai thác zero-day chỉ bằng cách truy cập một trang web trò chơi giả mạo ("detankzone[.]com") nhắm vào các cá nhân trong lĩnh vực tiền điện tử. Chiến dịch này ước tính đã bắt đầu vào tháng 2 năm 2024.

Các nhà nghiên cứu Boris Larin và Vasily Berdnikov của Kaspersky cho biết: "Trên bề mặt, trang web này trông giống như một trang sản phẩm được thiết kế chuyên nghiệp cho một trò chơi xe tăng trực tuyến nhiều người chơi (MOBA) dựa trên NFT (mã thông báo không thể thay thế) phi tập trung (DeFi), mời người dùng tải xuống phiên bản dùng thử ".

"Nhưng đó chỉ là ngụy trang. Đằng sau đó, trang web này có một tập lệnh ẩn chạy trong trình duyệt Google Chrome của người dùng, khởi chạy một lỗ hổng zero-day và cho phép kẻ tấn công kiểm soát hoàn toàn máy tính của nạn nhân."

Lỗ hổng bảo mật đang được đề cập là CVE-2024-4947, một lỗi nhầm lẫn kiểu trong công cụ JavaScript V8 và WebAssembly mà Google đã vá vào giữa tháng 5 năm 2024.

Việc sử dụng trò chơi xe tăng độc hại (DeTankWar, DeFiTankWar, DeTankZone hoặc TankWarsZone) làm phương tiện phát tán phần mềm độc hại là một chiến thuật mà Microsoft cho là của một nhóm hoạt động đe dọa khác của Triều Tiên có tên là Moonstone Sleet.

Các cuộc tấn công này được thực hiện bằng cách tiếp cận mục tiêu tiềm năng thông qua email hoặc nền tảng nhắn tin, lừa họ cài đặt trò chơi bằng cách đóng giả là một công ty blockchain hoặc nhà phát triển trò chơi đang tìm kiếm cơ hội đầu tư.

Những phát hiện mới nhất của Kaspersky đã bổ sung thêm một mảnh ghép vào câu đố tấn công, làm nổi bật vai trò của lỗ hổng trình duyệt zero-day trong chiến dịch này.

Cụ thể, lỗ hổng này chứa mã cho hai lỗ hổng: lỗ hổng đầu tiên được sử dụng để cung cấp cho kẻ tấn công quyền đọc và ghi vào toàn bộ không gian địa chỉ của quy trình Chrome từ JavaScript (CVE-2024-4947) và lỗ hổng thứ hai bị lạm dụng để vượt qua hộp cát V8.

"Lỗ hổng [thứ hai] là máy ảo có một số lượng thanh ghi cố định và một mảng chuyên dụng để lưu trữ chúng, nhưng các chỉ mục thanh ghi được giải mã từ các thân lệnh và không được kiểm tra", các nhà nghiên cứu giải thích. "Điều này cho phép kẻ tấn công truy cập vào bộ nhớ bên ngoài ranh giới của mảng thanh ghi".


Google đã vá lỗi bỏ qua hộp cát V8 vào tháng 3 năm 2024 sau khi có báo cáo lỗi được gửi vào ngày 20 tháng 3 năm 2024. Tuy nhiên, hiện tại vẫn chưa biết liệu những kẻ tấn công có phát hiện ra lỗi này sớm hơn và biến nó thành lỗ hổng zero-day hay không hoặc liệu nó có bị khai thác thành lỗ hổng N-day hay không.

Khai thác thành công được theo sau bởi tác nhân đe dọa chạy trình xác thực có dạng mã shellcode chịu trách nhiệm thu thập thông tin hệ thống, sau đó được sử dụng để xác định xem máy có đủ giá trị để thực hiện các hành động khai thác tiếp theo hay không. Hiện tại vẫn chưa rõ tải trọng chính xác được phân phối sau giai đoạn này.

Công ty Nga cho biết: "Điều khiến chúng tôi không bao giờ ngừng ấn tượng là nỗ lực mà Lazarus APT bỏ ra cho các chiến dịch tấn công kỹ thuật xã hội của họ", đồng thời chỉ ra cách thức mà kẻ tấn công thường liên hệ với những nhân vật có ảnh hưởng trong lĩnh vực tiền điện tử để giúp họ quảng bá trang web độc hại của mình.

"Trong nhiều tháng, những kẻ tấn công đã xây dựng sự hiện diện trên mạng xã hội, thường xuyên đăng bài trên X (trước đây là Twitter) từ nhiều tài khoản và quảng bá trò chơi của chúng bằng nội dung do AI tạo ra và các nhà thiết kế đồ họa."

Hoạt động của kẻ tấn công đã được theo dõi trên X và LinkedIn, chưa kể đến các trang web và email được thiết kế riêng gửi đến các mục tiêu quan tâm.

Trang web này cũng được thiết kế để thu hút người truy cập tải xuống tệp ZIP ("detankzone.zip"), sau khi khởi chạy, đây là một trò chơi có thể tải xuống đầy đủ chức năng, yêu cầu người chơi phải đăng ký, nhưng cũng chứa mã để khởi chạy trình tải tùy chỉnh có tên mã là YouieLoad, như Microsoft đã nêu chi tiết trước đó.

Hơn nữa, người ta tin rằng Nhóm Lazarus đã đánh cắp mã nguồn của trò chơi từ một trò chơi blockchain hợp pháp chơi để kiếm tiền (P2E) có tên là DeFiTankLand (DFTL), trò chơi này cũng đã bị tấn công vào tháng 3 năm 2024, dẫn đến vụ đánh cắp 20.000 đô la tiền DFTL2.

Mặc dù các nhà phát triển dự án đổ lỗi cho người trong cuộc về vụ vi phạm, Kaspersky nghi ngờ rằng Nhóm Lazarus đứng sau vụ việc và chúng đã đánh cắp mã nguồn của trò chơi cùng với đồng tiền DFTL2 và sử dụng lại để đạt được mục đích của mình.

Các nhà nghiên cứu cho biết: "Lazarus là một trong những tác nhân APT tích cực và tinh vi nhất, và lợi ích tài chính vẫn là một trong những động cơ hàng đầu của chúng".

"Chiến thuật của những kẻ tấn công đang ngày càng phát triển và chúng liên tục nghĩ ra những kế hoạch kỹ thuật xã hội mới, phức tạp. Lazarus đã bắt đầu sử dụng AI tạo sinh thành công và chúng tôi dự đoán rằng chúng sẽ nghĩ ra những cuộc tấn công thậm chí còn tinh vi hơn nữa khi sử dụng công nghệ này."