朝鮮黑客在使用Windows內(nèi)核漏洞獲得 SYSTEM權(quán)限后，利用最近修補(bǔ)的谷歌Chrome零日漏洞（CVE-2024-7971）部署 FudModule Rootkit。

“我們以高可信度評(píng)估，觀察到CVE-2024-7971漏洞被朝鮮黑客利用，以在加密貨幣行業(yè)獲取經(jīng)濟(jì)利益。”微軟8月30日發(fā)聲，并將攻擊歸因于Citrine Sleet（之前跟蹤為 DEV-0139）。

谷歌上周修補(bǔ)了CVE-2024-7971零日漏洞，將其描述為Chrome V8 JavaScript引擎的一個(gè)類型混淆弱點(diǎn)。

此漏洞使威脅行為者能夠在目標(biāo)的沙盒 Chromium渲染器進(jìn)程中獲得遠(yuǎn)程代碼執(zhí)行，將用戶重定向到他們控制的網(wǎng)站（voyagorclub[.]space）。

攻擊者從沙盒逃脫后，利用受感染的網(wǎng)絡(luò)瀏覽器下載一個(gè)Windows沙盒逃逸漏洞，該漏洞針對(duì)Windows內(nèi)核中的CVE-2024-38106漏洞（在本月的補(bǔ)丁星期二期間修復(fù)），這使他們獲得SYSTEM權(quán)限。

黑客還下載FudModule rootkit并將其加載到內(nèi)存中，用于內(nèi)核篡改和執(zhí)行直接內(nèi)核對(duì)象操作（DKOM），并允許他們繞過(guò)內(nèi)核安全機(jī)制。

自2022年10月被發(fā)現(xiàn)以來(lái)，此Rootkit也被另一個(gè)朝鮮黑客組織Diamond Sleet使用，Citrine Sleet與該組織共享其他惡意工具和攻擊基礎(chǔ)設(shè)施。

Citrine Sleet以金融機(jī)構(gòu)為目標(biāo)，專注于加密貨幣組織和相關(guān)個(gè)人，此前曾與朝鮮偵察總局121局有聯(lián)系。

其他網(wǎng)絡(luò)安全供應(yīng)商將這個(gè)朝鮮威脅組織跟蹤為AppleJeus、Labyrinth Chollima和UNC4736，美國(guó)政府將朝鮮政府資助的惡意行為者統(tǒng)稱為Hidden Cobra。

外媒表示，朝鮮黑客以利用偽裝成合法加密貨幣交易平臺(tái)的惡意網(wǎng)站而聞名。

他們通過(guò)這些惡意網(wǎng)站，向潛在受害者發(fā)送虛假工作申請(qǐng)，或者使用被武器化的加密貨幣錢包和交易應(yīng)用程序來(lái)感染受害者。

攻擊團(tuán)體UNC4736在2023年3月對(duì)視頻會(huì)議軟件制造商3CX的基于Electron的桌面客戶端進(jìn)行了木馬化攻擊。

此前他們對(duì)股票交易自動(dòng)化公司Trading Technologies進(jìn)行供應(yīng)鏈攻擊，入侵了網(wǎng)站以推送被木馬化的X_TRADER軟件版本。

谷歌的威脅分析小組（TAG）在2022年3月的一份報(bào)告中還將AppleJeus與Trading Technologies網(wǎng)站的入侵聯(lián)系起來(lái)。美國(guó)政府也警告稱，多年來(lái)朝鮮支持的黑客一直使用AppleJeus惡意軟件針對(duì)與加密貨幣相關(guān)公司和個(gè)人。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明