Grupul de hacking nord-coreean Lazarus a exploatat un zero-day Google Chrome cunoscut sub numele de CVE-2024-4947 printr-un joc fals de finanțe decentralizate (DeFi) care viza persoanele din domeniul criptomonedei.
Kaspersky a descoperit atacurile pe 13 mai 2024 și a raportat problema zero-day Chrome către Google.
Google a emis o soluție pentru CVE-2024-4947 pe 25 mai, odată cu versiunea Chrome 125.0.6422.60/.61.
Kaspersky a descoperit campania, care a început în februarie 2024, după detectarea unei noi variante a malware-ului backdoor „Manuscrypt” pe computerul personal al unuia dintre clienții săi din Rusia.
Lazarus a folosit Manuscrypt de ani de zile, dar cercetătorii au fost intrigati de domeniul atipic de vizare al actorului de amenințare, care părea să includă persoane aleatorii.
Telemetria ulterioară a arătat că Google Chrome a fost exploatat înainte de detectarea noii încărcături Manuscrypt, cu exploatarea provenind de pe site-ul „detankzone[.]com”. Acest site a promovat un joc NFT bazat pe un MOBA (multiplayer online battle arena) tematic în jurul tancurilor numit DeTankZone.
Lazarus a promovat puternic jocul prin campanii publicitare pe platforme de social media, precum X, emailuri de spear-phishing și conturi premium de LinkedIn folosite în atacuri directe asupra unor ținte de mare valoare.
La descărcarea și reverificarea jocului, Kaspersky a descoperit că jocul era bazat pe cod sursă furat dintr-un joc legitim numit DeFiTankLand, pe care Lazarus pur și simplu l-a rebranduit în scopurile lor.
Descărcarea ZIP de 400MB se lansează așa cum era de așteptat, dar nu funcționează dincolo de ecranul de autentificare/înregistrare, deoarece infrastructura de backend pentru joc a fost închisă. Mai mult, nu a efectuat acțiuni malitioase asupra sistemului țintei.
Exploatarea Google Chrome se întâmplă pe site-ul detankzone[.]com însuși, care conținea un script ascuns (index.tsx) proiectat pentru a declanșa o exploatare pentru CVE-2024-4947, o confuzie de tip în V8, motorul JavaScript Chrome.
Scriptul de exploatare al lui Lazarus a corupt memoria lui Chrome prin valorificarea compilatorului JIT al aplicației, Maglev, suprascriind secțiuni care în cele din urmă le-a oferit acces la întregul spațiu de adrese al procesului Chrome.
La acest punct, atacatorii au putut accesa cookie-urile, token-urile de autentificare, parolele salvate și istoricul de navigare.
Arena de nisip V8 a lui Chrome izolează execuția JavaScript de restul sistemului, astfel încât Lazarus a folosit o a doua problemă în V8 pentru a scăpa de ea și a realiza o execuție de cod la distanță, executând shellcode în memoria sistemului.
„Această problemă (330404819) a fost raportată și rezolvată în martie 2024,” explică Kaspersky despre problema de evadare V8.
„Nu se știe dacă a fost o coliziune de bug-uri și atacatorii au descoperit-o mai întâi și au exploatat-o inițial ca o vulnerabilitate 0-day, sau dacă a fost exploatată inițial ca o vulnerabilitate de 1 zi.”
Shellcode-ul folosit de Lazarus servește drept unealtă de recunoaștere, ajutând atacatorii să determine dacă mașina compromisă este suficient de valoroasă pentru a continua atacul.
Acesta a colectat informații despre CPU, BIOS și OS, a efectuat verificări anti-VM și anti-debugging și a trimis informațiile către serverul de comandă și control (C2) al lui Lazarus.
Kaspersky nu a avut ocazia să examineze pașii ulteriori ai atacului, deoarece, până la momentul analizei lor, Lazarus își eliminase exploatarea din site-ul decoy.
Cu toate acestea, bazându-se pe persoanele vizate de campania malitioasă și pe istoricul lor, scopul final al atacului a fost probabil de a fura criptomonede.
Rusul care spală milioane pentru hackerii Lazarus a fost arestat în Argentina
Google remediază al nouălea zero-day Chrome etichetat ca exploatat în acest an
Fortinet avertizează cu privire la o nouă vulnerabilitate critică FortiManager folosită în atacuri zero-day
Hackerii exploatează 52 de zero-day-uri în prima zi a Pwn2Own Ireland
Operatorii ruși ai platformelor de spălare a banilor de cybercrime sunt acuzați în SUA
Leave a Reply