Kuzey Kore istihbaratına bağlı bir tehdit grubu, kripto para sektöründen para çalmak amacıyla geçen ay iki yeni güvenlik açığını kapattı.
Çoğu finansal siber suç, hızlı para kazanmayı hedefleyen orta ve düşük seviyeli siber suçlular tarafından gerçekleştiriliyor. Kuzey Kore’de durum böyle değil, çünkü gelişmiş, milyonlarca dolarlık ve milyar dolarlık siber kumarlar ABD yetkililerine göre Batı’daki özel sektöre karşı yürütülen operasyonlar, ülkenin nükleer silah programlarını besliyor.
Son saldırı, bugüne kadarki en gelişmiş saldırılardan biri olup, Windows ve Chromium tarayıcılarındaki daha önce bilinmeyen sorunları bir araya getiriyor, ardından hedeflerden çalmadan önce sisteme derinlemesine erişim sağlamak için bir rootkit kullanıyor.
Adım 1: Chromium Zero-Day’i Aktif Olarak Kullanın
21 Ağustos’ta, Google, Chrome için bir güncelleme yayınladı 38 güvenlik düzeltmesi de dahildi. Ancak bunların en önemlisi CVE-2024-7971’di.
CVE-2024-7971, Chrome ve diğer Chromium tabanlı tarayıcılarda JavaScript çalıştıran V8 motorunda bir tür karışıklığı sorunuydu. Özel olarak hazırlanmış bir HTML sayfası kullanarak, bir saldırgan tarayıcının bellek yığınını bozabilir ve uzaktan kod yürütme (RCE) yetenekleri elde etmek için bundan yararlanabilirdi. Sorun, 10 CVSS üzerinden 8,8 “yüksek” önem derecesi aldı.
Hatanın ciddi olmasının yanı sıra aktif olarak istismar ediliyordu.
Sorunu ilk olarak Google’a bildiren Tehdit İstihbarat Merkezi (MSTIC) ve Güvenlik Yanıt Merkezi (MSRC) olan Microsoft, şimdi satır aralarını renklendiriyor. 30 Ağustos tarihli bir blog yazısındaMicrosoft, Kuzey Kore Keşif Genel Bürosu’nun 121. Bürosu’ndaki bir kuruluşun (Citrine Sleet (diğer adıyla AppleJeus, Labyrinth Chollima, UNC4736 ve Hidden Cobra) olarak takip ettiği bir APT) kripto şirketlerini finansal kazanç sağlamak için hedef alan bir kampanyada CVE-2024-7971’i kullandığını açıkladı.
Microsoft, Dark Reading’e kampanyanın mağdurları veya bu mağdurların maruz kalacağı sonuçlar hakkında daha fazla bilgi vermeyi reddetti.
Adım 2: Windows Çekirdek Hatası
Finansal kuruluşları hedef almasıyla bilinen tipik bir Citrine Sleet saldırısı, örneğin bir kripto para ticaret platformu olarak gizlenmiş sahte bir web sitesiyle başlar. Bu siteyi sahte iş ilanları için bir fırlatma rampası olarak kullanabilir veya kurbanları özel Trojan’ı AppleJeus ile bağlanmış sahte bir kripto cüzdanı veya ticaret uygulamasını indirmeye kandırabilir.
Bu son kampanyada, kurbanlar bilinmeyen sosyal mühendislik taktikleriyle voyagorclub alan adına çekildi[.]Alana bağlananlar, Chromium’daki sıfır günlük bellek bozulması açığını otomatik olarak tetiklediler.
Tek bir yüksek öneme sahip hatayla yetinmeyen Citrine Sleet, Chromium RCE açığını ikinci bir yüksek öneme sahip hata olan CVE-2024-38106’ya bağladı. CVE-2024-38106, bir saldırganın değerli sistem düzeyinde ayrıcalıklar elde etmesine olanak tanıyan Windows çekirdeğindeki bir ayrıcalık yükseltmesidir. (Mütevazı 7.0 CVSS puanı, karmaşıklığına ve hedeflenen bir makineye mevcut yerel erişim gereksinimine bağlanabilir.)
Microsoft CVE-2024-38106’yı düzeltti 13 Ağustos’ta, bu son Citrine Sleet aktivitesinin keşfinden bir haftadan az bir süre önce. Özellikle, yakın zamanda tamamen farklı bir tehdit aktörü tarafından da istismar edilmiş gibi görünüyor.
Adım 3: Kar?
“Saldırı zinciri, doğrudan korumalı bir Chrome işleyici sürecini tehlikeye atmaktan, Chrome tarayıcı sürecini hedeflemek yerine Windows çekirdeğini tehlikeye atmaya kadar gidiyor,” diye açıklıyor Menlo Security’de baş güvenlik mimarı olan Lionel Litty. “Bu, Chrome uygulama davranışını gözlemleyen araçları kullanarak bir şeylerin ters gittiğini tespit etmek için çok sınırlı fırsatlar olduğu anlamına geliyor.”
“Çekirdekte bir kez saldırgan, uç noktadaki güvenlik araçlarıyla aynı seviyede rekabet edebilir, hatta üstünlük sağlayabilir ve onları tespit etmek çok zor hale gelir.” diye ekliyor.
Ayrıcalık artışının bir parçası olarak Citrine Sleet FudModule’u dağıtırAPT Diamond Sleet ile paylaştığı bir rootkit. FudModule, çekirdek güvenlik kontrollerini en iyi hale getirmek için doğrudan çekirdek nesne manipülasyonu (DKOM) tekniklerini kullanır ve üç yıl önce ilk keşfinden bu yana en az iki önemli örnekte iyileştirilmiştir. Örneğin bu yılın başlarında, Avast araştırmacıları Microsoft Defender, Crowdstrike Falcon ve HitmanPro’daki korumalı işlem ışığı (PPL) işlemlerini bozma konusundaki yeni yeteneğini fark ettiler.
Hedeflenen bir sistemin en iç köşelerine ulaşan Citrine Sleet, genellikle AppleJeus Trojan’ını devreye sokar. AppleJeus, bir kurbanın kripto paralarını ve kripto para birimiyle ilgili varlıklarını çalmak için gereken bilgileri ele geçirmek üzere tasarlanmıştır.
Yine de, Avast’ın tehdit istihbarat direktörü Michal Salát, “Chrome’da uzaktan kod yürütmenin maliyeti bazı karaborsalarda 100.000 doların üzerinde -tam olarak 150.000 dolar-” diyor. “Lazarus’un bu istismarlara harcadığı para miktarı oldukça büyük. Burada kendimize sorduğumuz soru şu: Bu onlar için ne kadar sürdürülebilir?”