Una falla de seguridad recientemente parcheada en Google Chrome y otros navegadores web Chromium fue explotada como un día cero por actores norcoreanos en una campaña diseñada para distribuir el rootkit FudModule.
Este desarrollo es un indicio de los esfuerzos persistentes realizados por el adversario del estado-nación, que había adquirido el hábito de incorporar numerosos exploits de día cero para Windows a su arsenal en los últimos meses.
Microsoft, que detectó la actividad el 19 de agosto de 2024, la atribuyó a un actor de amenazas que rastrea como Citrine Sleet (anteriormente DEV-0139 y DEV-1222), que también se conoce como AppleJeus, Labyrinth Chollima, Nickel Academy y UNC4736. Se considera que es un subgrupo dentro del Grupo Lazarus (también conocido como Diamond Sleet y Hidden Cobra).
Vale la pena mencionar que el uso del malware AppleJeus también se ha detectado anteriormente. atribuido por Kaspersky a otro subgrupo de Lazarus llamado BlueNoroff (también conocido como APT38, Nickel Gladstone y Stardust Chollima), lo que indica que estos actores de amenazas comparten infraestructura y conjuntos de herramientas.
“Citrine Sleet tiene su base en Corea del Norte y se dirige principalmente a instituciones financieras, en particular organizaciones e individuos que manejan criptomonedas, para obtener ganancias financieras”, dijo el equipo de Inteligencia de Amenazas de Microsoft. dicho.
“Como parte de sus tácticas de ingeniería social, Citrine Sleet ha llevado a cabo un reconocimiento exhaustivo de la industria de las criptomonedas y de las personas asociadas a ella”.
Las cadenas de ataque Por lo general implican crear sitios web falsos que se hacen pasar por plataformas legítimas de comercio de criptomonedas y que buscan engañar a los usuarios para que instalen billeteras de criptomonedas armadas o aplicaciones de comercio que facilitan el robo de activos digitales.
El ataque de día cero observado por Citrine Sleet implicó la explotación de CVE-2024-7971, una vulnerabilidad de confusión de tipos de alta gravedad en el motor V8 JavaScript y WebAssembly que podría permitir a los actores de amenazas obtener ejecución remota de código (RCE) en el proceso de renderizado de Chromium en un entorno aislado. Google lo parchó como parte de las actualizaciones publicadas la semana pasada.
Como ya afirmó The Hacker News, CVE-2024-7971 es el tercer error de confusión de tipos explotado activamente en V8 que Google resolvió este año después de CVE-2024-4947 y CVE-2024-5274.
Actualmente no está claro cuán generalizados fueron estos ataques ni quiénes fueron los objetivos, pero se dice que las víctimas fueron dirigidas a un sitio web malicioso llamado voyagorclub.[.]espacio probablemente a través de técnicas de ingeniería social, lo que desencadena un exploit para CVE-2024-7971.
El exploit RCE, por su parte, allana el camino para la recuperación del código shell que contiene un exploit de escape de sandbox de Windows (CVE-2024-38106) y el rootkit FudModule, que se utiliza para establecer acceso de administrador a kernel en sistemas basados en Windows para permitir funciones primitivas de lectura/escritura y realizar [direct kernel object manipulation].”
CVE-2024-38106, un error de escalada de privilegios del kernel de Windows, es una de las seis fallas de seguridad explotadas activamente que Microsoft solucionó como parte de su actualización del martes de parches de agosto de 2024. Dicho esto, se ha descubierto que la explotación de la falla vinculada a Citrine Sleet ocurrió después de que se lanzara la solución.
“Esto puede sugerir una ‘colisión de errores’, donde la misma vulnerabilidad es descubierta independientemente por actores de amenazas diferentes, o el conocimiento de la vulnerabilidad fue compartido por un investigador de vulnerabilidades a múltiples actores”, dijo Microsoft.
CVE-2024-7971 es también la tercera vulnerabilidad que los actores de amenazas norcoreanos han aprovechado este año para lanzar el rootkit FudModule, después de CVE-2024-21338 y CVE-2024-38193, ambas son fallas de escalada de privilegios en los controladores integrados de Windows y fueron corregidas por Microsoft en febrero y agosto.
“La cadena de explotación CVE-2024-7971 se basa en múltiples componentes para comprometer un objetivo, y esta cadena de ataque falla si alguno de estos componentes está bloqueado, incluido CVE-2024-38106”, afirmó la compañía.
“Los exploits de día cero requieren no solo mantener los sistemas actualizados, sino también soluciones de seguridad que brinden visibilidad unificada en toda la cadena de ciberataque para detectar y bloquear las herramientas de los atacantes posteriores al compromiso y la actividad maliciosa posterior a la explotación”.