Tin tặc Bắc Triều Tiên triển khai Rootkit FudModule qua Chrome Zero-Day Exploit

Tác giả ChatGPT, T.Chín 04, 2024, 07:15:40 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một lỗ hổng bảo mật mới được vá trong Google Chrome và các trình duyệt web Chromium khác đã bị các tác nhân Triều Tiên khai thác như một lỗ hổng zero-day trong chiến dịch được thiết kế để phát tán rootkit FudModule.

Sự phát triển này cho thấy những nỗ lực liên tục của kẻ thù là quốc gia, vốn đã có thói quen đưa hàng loạt lỗ hổng zero-day của Windows vào kho vũ khí của mình trong những tháng gần đây.


Microsoft, đơn vị phát hiện hoạt động này vào ngày 19 tháng 8 năm 2024, đã quy kết nó cho một tác nhân đe dọa mà họ theo dõi là Citrine Sleet (trước đây là DEV-0139 và DEV-1222), còn được gọi là AppleJeus, Labyrinth Chollima, Nickel Academy và UNC4736. Nó được đánh giá là một nhóm phụ trong Nhóm Lazarus (hay còn gọi là Diamond Sleet và Hidden Cobra).

Điều đáng nói là việc sử dụng phần mềm độc hại AppleJeus trước đây cũng đã được Kaspersky quy cho một nhóm nhỏ khác của Lazarus có tên là BlueNoroff (hay còn gọi là APT38, Nickel Gladstone và Stardust Chollima), cho thấy cơ sở hạ tầng và bộ công cụ được chia sẻ giữa các tác nhân đe dọa này.

Nhóm Microsoft Threat Intelligence cho biết : "Citrine Sleet có trụ sở tại Triều Tiên và chủ yếu nhắm vào các tổ chức tài chính, đặc biệt là các tổ chức và cá nhân quản lý tiền điện tử, để kiếm lợi nhuận".

"Là một phần trong chiến thuật kỹ thuật xã hội, Citrine Sleet đã tiến hành do thám sâu rộng ngành công nghiệp tiền điện tử và những cá nhân có liên quan đến ngành này."

Chuỗi tấn công thường liên quan đến việc thiết lập các trang web giả mạo dưới dạng nền tảng giao dịch tiền điện tử hợp pháp nhằm lừa người dùng cài đặt ví tiền điện tử hoặc ứng dụng giao dịch tạo điều kiện cho hành vi trộm cắp tài sản kỹ thuật số.

Cuộc tấn công khai thác zero-day được quan sát bởi Citrine Sleet liên quan đến việc khai thác CVE-2024-7971, một lỗ hổng nhầm lẫn loại nghiêm trọng cao trong công cụ V8 JavaScript và WebAssembly có thể cho phép các tác nhân đe dọa thực thi mã từ xa (RCE) trong quy trình kết xuất Chromium được bảo vệ bằng hộp cát. Google đã vá lỗi này như một phần của các bản cập nhật được phát hành vào tuần trước.

Như The Hacker News đã nêu trước đó, CVE-2024-7971 là lỗi nhầm lẫn loại thứ ba được khai thác tích cực trong V8 mà Google đã giải quyết trong năm nay sau CVE-2024-4947 và CVE-2024-5274.

Hiện tại vẫn chưa rõ mức độ lan rộng của các cuộc tấn công này hoặc đối tượng bị nhắm tới là ai, nhưng các nạn nhân được cho là đã bị chuyển hướng đến một trang web độc hại có tên voyagorclub[.]space, có thể là thông qua các kỹ thuật kỹ thuật xã hội, do đó kích hoạt lỗ hổng CVE-2024-7971.

Về phần mình, lỗ hổng RCE mở đường cho việc truy xuất shellcode chứa lỗ hổng thoát khỏi hộp cát Windows (CVE-2024-38106) và rootkit FudModule, được sử dụng để "thiết lập quyền truy cập quản trị vào nhân vào các hệ thống chạy trên Windows để cho phép đọc/ghi các hàm nguyên thủy và thực hiện [thao tác đối tượng nhân trực tiếp]."

CVE-2024-38106, một lỗi leo thang đặc quyền của hạt nhân Windows, là một trong sáu lỗ hổng bảo mật được khai thác tích cực mà Microsoft đã khắc phục như một phần của bản cập nhật Patch Tuesday tháng 8 năm 2024. Tuy nhiên, việc khai thác lỗ hổng liên quan đến Citrine Sleet đã được phát hiện xảy ra sau khi bản sửa lỗi được phát hành.

Microsoft cho biết: "Điều này có thể gợi ý về 'xung đột lỗi', trong đó cùng một lỗ hổng được phát hiện độc lập bởi nhiều tác nhân đe dọa khác nhau hoặc kiến thức về lỗ hổng được một nhà nghiên cứu lỗ hổng chia sẻ cho nhiều tác nhân".

CVE-2024-7971 cũng là lỗ hổng thứ ba mà các tác nhân đe dọa từ Triều Tiên đã lợi dụng trong năm nay để phát tán rootkit FudModule, sau CVE-2024-21338 và CVE-2024-38193, cả hai đều là lỗ hổng leo thang đặc quyền trong hai trình điều khiển Windows tích hợp sẵn (appid.sys và AFD.sys) và đã được Microsoft khắc phục vào tháng 2 và tháng 8.

Công ty cho biết: "Chuỗi khai thác CVE-2024-7971 dựa vào nhiều thành phần để xâm nhập mục tiêu và chuỗi tấn công này sẽ thất bại nếu bất kỳ thành phần nào trong số này bị chặn, bao gồm cả CVE-2024-38106".

"Việc khai thác lỗ hổng zero-day không chỉ đòi hỏi phải cập nhật hệ thống mà còn cần các giải pháp bảo mật cung cấp khả năng hiển thị thống nhất trên toàn bộ chuỗi tấn công mạng để phát hiện và chặn các công cụ tấn công sau khi xâm nhập và hoạt động độc hại sau khi khai thác."