朝鮮黑客在使用Windows內核漏洞獲得 SYSTEM權限后,利用最近修補的谷歌Chrome零日漏洞(CVE-2024-7971)部署 FudModule Rootkit。
“我們以高可信度評估,觀察到CVE-2024-7971漏洞被朝鮮黑客利用,以在加密貨幣行業獲取經濟利益。”微軟8月30日發聲,并將攻擊歸因于Citrine Sleet(之前跟蹤為 DEV-0139)。
谷歌上周修補了CVE-2024-7971零日漏洞,將其描述為Chrome V8 JavaScript引擎的一個類型混淆弱點。
此漏洞使威脅行為者能夠在目標的沙盒 Chromium渲染器進程中獲得遠程代碼執行,將用戶重定向到他們控制的網站(voyagorclub[.]space)。
攻擊者從沙盒逃脫后,利用受感染的網絡瀏覽器下載一個Windows沙盒逃逸漏洞,該漏洞針對Windows內核中的CVE-2024-38106漏洞(在本月的補丁星期二期間修復),這使他們獲得SYSTEM權限。
黑客還下載FudModule rootkit并將其加載到內存中,用于內核篡改和執行直接內核對象操作(DKOM),并允許他們繞過內核安全機制。
自2022年10月被發現以來,此Rootkit也被另一個朝鮮黑客組織Diamond Sleet使用,Citrine Sleet與該組織共享其他惡意工具和攻擊基礎設施。
Citrine Sleet以金融機構為目標,專注于加密貨幣組織和相關個人,此前曾與朝鮮偵察總局121局有聯系。
其他網絡安全供應商將這個朝鮮威脅組織跟蹤為AppleJeus、Labyrinth Chollima和UNC4736,美國政府將朝鮮政府資助的惡意行為者統稱為Hidden Cobra。
外媒表示,朝鮮黑客以利用偽裝成合法加密貨幣交易平臺的惡意網站而聞名。
他們通過這些惡意網站,向潛在受害者發送虛假工作申請,或者使用被武器化的加密貨幣錢包和交易應用程序來感染受害者。
攻擊團體UNC4736在2023年3月對視頻會議軟件制造商3CX的基于Electron的桌面客戶端進行了木馬化攻擊。
此前他們對股票交易自動化公司Trading Technologies進行供應鏈攻擊,入侵了網站以推送被木馬化的X_TRADER軟件版本。
谷歌的威脅分析小組(TAG)在2022年3月的一份報告中還將AppleJeus與Trading Technologies網站的入侵聯系起來。美國政府也警告稱,多年來朝鮮支持的黑客一直使用AppleJeus惡意軟件針對與加密貨幣相關公司和個人。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:互聯網
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照