Actores norcoreanos explotaron una falla de seguridad recientemente reparada en Google Chrome y otros navegadores web Chromium como una falla de día cero en una campaña diseñada para difundir el rootkit FudModule.
Este desarrollo es indicativo de los esfuerzos persistentes desplegados por el Estado adversario, que se había acostumbrado a incorporar una serie de exploits de día cero para Windows a su arsenal en los últimos meses.
Microsoft, que detectó la actividad el 19 de agosto de 2024, la atribuyó a un actor malicioso al que rastrea como Citrine Sleet (anteriormente DEV-0139 y DEV-1222), también conocido como AppleJeus, Labyrinth Chollima, Nickel Academy y UNC4736. Se considera un subgrupo del Grupo Lazarus (también conocido como Diamond Sleet y Hidden Cobra).
Cabe mencionar que el uso del malware AppleJeus también ha sido reportado anteriormente asignado Kaspersky a otro subgrupo de Lazarus llamado BlueNoroff (también conocido como APT38, Nickel Gladstone y Stardust Chollima), lo que indica el intercambio de infraestructura y herramientas entre estos actores de amenazas.
“Citrine Sleet tiene su sede en Corea del Norte y se dirige principalmente a instituciones financieras, en particular organizaciones e individuos que administran criptomonedas, con fines financieros”, dijo el equipo de Microsoft Threat Intelligence. dicho.
“Como parte de sus tácticas de ingeniería social, Citrine Sleet ha realizado un amplio reconocimiento de la industria de las criptomonedas y de las personas asociadas con ella. »
Cadenas de ataque generalmente involucran crear sitios web falsos que se hacen pasar por plataformas legítimas de comercio de criptomonedas que buscan engañar a los usuarios para que instalen billeteras de criptomonedas armadas o aplicaciones comerciales que faciliten el robo de activos digitales.
El ataque de día cero observado por Citrine Sleet implicó la explotación de CVE-2024-7971, una vulnerabilidad de confusión de tipos de alta gravedad en el motor JavaScript V8 y WebAssembly que podría permitir a actores maliciosos obtener control remoto de ejecución de código (RCE) en Chromium. Proceso de renderizado de zona de pruebas. Google lo solucionó como parte de las actualizaciones publicadas la semana pasada.
Como informó anteriormente The Hacker News, CVE-2024-7971 es el tercer error de confusión de tipos explotado activamente en V8 que Google ha solucionado este año después de CVE-2024-4947 y CVE-2024-5274.
Aún no está claro qué tan extendidos fueron estos ataques ni quién fue el objetivo, pero se cree que las víctimas fueron dirigidas a un sitio web malicioso llamado voyagorclub.[.]espacio probablemente a través de técnicas de ingeniería social, lo que desencadena un exploit para CVE-2024-7971.
El exploit RCE, a su vez, allana el camino para recuperar el código shell que contiene un exploit de escape de la zona de pruebas de Windows (CVE-2024-38106) y el rootkit FudModule, que se utiliza para establecer acceso de administrador al kernel del sistema Windows para permitir lectura/escritura primitiva y ejecutar funciones [direct kernel object manipulation]”.”
CVE-2024-38106, un error de escalada de privilegios del kernel de Windows, es una de las seis vulnerabilidades de seguridad explotadas activamente que Microsoft parchó como parte de su actualización del martes de parches de agosto de 2024. Dicho esto, se descubrió que la explotación de la vulnerabilidad Citrine Sleet ocurrió después de la. Se lanzó el parche.
“Esto puede sugerir una ‘colisión de errores’, donde la misma vulnerabilidad es descubierta de forma independiente por actores de amenazas separados, o un investigador de vulnerabilidades comparte el conocimiento de la vulnerabilidad con múltiples actores”, dijo Microsoft.
CVE-2024-7971 es también la tercera vulnerabilidad explotada este año por los actores de amenazas norcoreanos para eliminar el rootkit FudModule, después de CVE-2024-21338 y CVE-2024-38193, las cuales son fallas de escalada de privilegios en los controladores integrados de Windows. y Microsoft los solucionó en febrero y agosto.
“La cadena de exploits CVE-2024-7971 se basa en múltiples componentes para comprometer un objetivo, y esta cadena de ataque falla si alguno de estos componentes está bloqueado, incluido CVE-2024-38106”, dijo la sociedad.
“Los exploits de día cero requieren no solo mantener los sistemas actualizados, sino también soluciones de seguridad que brinden visibilidad unificada en toda la cadena de ciberataques para detectar y bloquear herramientas de ataque posteriores al compromiso y actividad maliciosa después de la explotación. »