Компания Microsoft сообщила, что северокорейские хакеры использовали недавно исправленную уязвимость нулевого дня в Google Chrome (CVE-2024-7971) для развертывания руткита FudModule. Малварь применялась после получения привилегий уровня SYSTEM с помощью эксплоита для бага в ядре Windows.
«С высокой степенью уверенности мы считаем, что за наблюдаемой эксплуатацией CVE-2024-7971 могут стоять северокорейские злоумышленники, нацеленные на криптовалютный сектор с целью получения финансовой выгоды», — заявила Microsoft, приписав атаки группировке Citrine Sleet (ранее DEV-0139, или AppleJeus, Labyrinth Chollima и UNC4736 по классификации других компаний).
Обычно группировка Citrine Sleet атакует финансовые учреждения (в основном криптовалютные организации) и связанных с ними лиц. К примеру, в марте 2023 года хакеры заразили трояном десктопный клиент 3CXDesktopApp компании 3CX и использовали его для распространения вредоносного ПО среди клиентов компании. Причем эта атака на цепочку поставок произошла из-за другой атаки на цепочку поставок: сначала злоумышленники взломали компанию Trading Technologies, занимающуюся автоматизацией биржевой торговли, и распространили троянизированные версии ее ПО.
Свежая уязвимость CVE-2024-7971 в Chrome, об эксплуатации которой теперь предупредила Microsoft, была устранена в середине августа 2024 года. Тогда сообщалось, что проблема обнаружена в JavaScript-движке V8, ее нашли специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC), и она относится к типу type confusion.
Как сообщается теперь, жертвы попадали на контролируемый злоумышленниками сайт voyagorclub[.]space, и уязвимость позволяла хакерам добиться удаленного выполнения кода в процессе рендеринга в песочнице Chromium-браузеров.
После побега из песочницы хакеры использовали скомпрометированный браузер для загрузки эксплоита уязвимости CVE-2024-38106 в ядре Windows (исправлена в рамках августовского «вторника обновлений»), что позволило получить привилегии уровня SYSTEM.
Также исследователи рассказывают, что хакеры загружали в память пострадавшего устройства руткит FudModule, который использовался для вмешательства в ядро и прямого манипулирования объектами ядра, позволяя обходить защитные механизмы.
Впервые этот вредонос был обнаружен еще в октябре 2022 года, и ранее он применялся северокорейской группировкой Diamond Sleet, с которой Citrine Sleet имеет общие вредоносные инструменты и инфраструктуру.
«13 августа Microsoft выпустила обновление безопасности для устранения уязвимости нулевого дня в драйвере AFD.sys в Windows (CVE-2024-38193), выявленной Gen Threat Labs, — сообщают специалисты Microsoft. — В начале июня Gen Threat Labs обнаружила, что Diamond Sleet эксплуатирует эту уязвимость в атаках с использованием руткита FudModule, который предоставляет полный user-to-kernel доступ».
Также в отчете Microsoft отмечается, что одна из организаций, атакованная при помощи уязвимости CVE-2024-7971, ранее уже была атакована другой северокорейской хак-групой — BlueNoroff (она де Sapphire Sleet).
