原始背景图片取自Héctor J. Rivas on Unsplash
微软研究人员发现,北韩黑客组织滥用Chromium漏洞,以便在Windows PC内核植入恶意程序Fudmodule以窃取加密货币。
微软威胁情报小组暨微软安全回应中心在8月19日发现,北韩黑客滥用当时尚未发现的Chromium漏洞执运行远程代码运行(remote code execution,RCE)。该漏洞后被命名为CVE-2024-7971。微软分析,这次攻击背后是名为Citrine Sleet的北韩黑客组织,他们在受害Windows PC内核植入rootkit程序FudModule。
CVE-2024-7971为存在Chromium V8 JavaScript及WebAssembly引擎的型态混淆漏洞,成功滥用可让攻击者在沙箱环境中的Chromium。受影响的是128.0.6613.84以前版本,Google已经在2024年8月21日发布新版修补。CVE-2024-7971也是继CVE-2024-4947和CVE-2024-5274后今年第三个V8型态混淆漏洞。
Citrine Sleet又被称为AppleJeus、Labyrinth Chollima、UNC4736和Hidden Cobra。过去这个组织经常锁定管理加密货币的金融机构或个人以获取财务利益。而在这次行动中,研究人员相信Citrine Sleet是通过社交工程诱骗用户点击钓鱼网站,当受害者连到恶意网域时,滥用CVE-2024-7971对沙箱环境的Chromium运行RCE,之后并在Windows内存中下载包含Windows沙箱逃逸(sandbox escape)攻击程序及FudModule rootkit的shellcode。
这个Windows沙箱逃逸攻击程序则另外滥用了另一个零时差Windows权限扩张漏洞CVE-2024-38106。一旦成功,FudModule rootkit即被加载Windows内核,利用直接内核对象操弄(direct kernel object manipulation,DKOM)手法,扰乱内核安全机制、从user mode运行指令,以及通过内核读写原语(primitive)运行内核窜改活动。微软推测,Citrine Sleet这波攻击也是意在窃取加密货币。
值得一提的是,CVE-2024-38106是由北韩黑客组织Diamond Sleet发现且首先滥用。但微软之前研究发现Citrine Sleet和Diamond Sleet曾共用某些基础架构和工具,因此微软推测,Diamond Sleet和Citrine Sleet可能共用了关于CVE-2024-38106的知识。
FudModule rootkit已多次在北韩黑客攻击中使用。例如2022年9月ESET及AhnLAb研究人员观察到黑客滥用CVE-2021-21551 Dell驱动程序漏洞植入FudModule变种,今年2月Avast研究人员也发现Windows AppLocker驱动程序漏洞(CVE-2024-21338)滥用。8月Gen Digital发现Winsock驱动程序漏洞CVE-2024-38193被Lazarus滥用后都被植入这个rootkit变种。
CVE-2024-21338及CVE-2024-38106、CVE-2024-38193分别由微软在2月及8月Patch Tuesday中修补。



2024-09-02
