朝鮮黑客在使用Windows內(nèi)核漏洞獲得 SYSTEM權限后,利用最近修補的谷歌Chrome零日漏洞(CVE-2024-7971)部署 FudModule Rootkit。
“我們以高可信度評估,觀察到CVE-2024-7971漏洞被朝鮮黑客利用,以在加密貨幣行業(yè)獲取經(jīng)濟利益。”微軟8月30日發(fā)聲,并將攻擊歸因于Citrine Sleet(之前跟蹤為 DEV-0139)。
谷歌上周修補了CVE-2024-7971零日漏洞,將其描述為Chrome V8 JavaScript引擎的一個類型混淆弱點。
此漏洞使威脅行為者能夠在目標的沙盒 Chromium渲染器進程中獲得遠程代碼執(zhí)行,將用戶重定向到他們控制的網(wǎng)站(voyagorclub[.]space)。
攻擊者從沙盒逃脫后,利用受感染的網(wǎng)絡瀏覽器下載一個Windows沙盒逃逸漏洞,該漏洞針對Windows內(nèi)核中的CVE-2024-38106漏洞(在本月的補丁星期二期間修復),這使他們獲得SYSTEM權限。
黑客還下載FudModule rootkit并將其加載到內(nèi)存中,用于內(nèi)核篡改和執(zhí)行直接內(nèi)核對象操作(DKOM),并允許他們繞過內(nèi)核安全機制。
自2022年10月被發(fā)現(xiàn)以來,此Rootkit也被另一個朝鮮黑客組織Diamond Sleet使用,Citrine Sleet與該組織共享其他惡意工具和攻擊基礎設施。
Citrine Sleet以金融機構為目標,專注于加密貨幣組織和相關個人,此前曾與朝鮮偵察總局121局有聯(lián)系。
其他網(wǎng)絡安全供應商將這個朝鮮威脅組織跟蹤為AppleJeus、Labyrinth Chollima和UNC4736,美國政府將朝鮮政府資助的惡意行為者統(tǒng)稱為Hidden Cobra。
外媒表示,朝鮮黑客以利用偽裝成合法加密貨幣交易平臺的惡意網(wǎng)站而聞名。
他們通過這些惡意網(wǎng)站,向潛在受害者發(fā)送虛假工作申請,或者使用被武器化的加密貨幣錢包和交易應用程序來感染受害者。
攻擊團體UNC4736在2023年3月對視頻會議軟件制造商3CX的基于Electron的桌面客戶端進行了木馬化攻擊。
此前他們對股票交易自動化公司Trading Technologies進行供應鏈攻擊,入侵了網(wǎng)站以推送被木馬化的X_TRADER軟件版本。
谷歌的威脅分析小組(TAG)在2022年3月的一份報告中還將AppleJeus與Trading Technologies網(wǎng)站的入侵聯(lián)系起來。美國政府也警告稱,多年來朝鮮支持的黑客一直使用AppleJeus惡意軟件針對與加密貨幣相關公司和個人。
及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)
本文來源:互聯(lián)網(wǎng)
如涉及侵權,請及時與我們聯(lián)系,我們會在第一時間刪除或處理侵權內(nèi)容。
電話:400-869-9193 負責人:張明
工商執(zhí)照