Une faille de sécurité récemment corrigée dans Google Chrome et d’autres navigateurs Web Chromium a été exploitée comme une faille zero-day par des acteurs nord-coréens dans une campagne conçue pour diffuser le rootkit FudModule.
Cette évolution est révélatrice des efforts persistants déployés par l’adversaire étatique, qui avait pris l’habitude d’incorporer des radeaux d’exploits zero-day Windows dans son arsenal au cours des derniers mois.
Microsoft, qui a détecté l’activité le 19 août 2024, l’a attribuée à un acteur malveillant qu’il suit sous le nom de Citrine Sleet (anciennement DEV-0139 et DEV-1222), également connu sous les noms d’AppleJeus, Labyrinth Chollima, Nickel Academy et UNC4736. Il est considéré comme un sous-cluster du groupe Lazarus (alias Diamond Sleet et Hidden Cobra).
Il convient de mentionner que l’utilisation du malware AppleJeus a également été signalée auparavant attribué par Kaspersky à un autre sous-groupe de Lazarus appelé BlueNoroff (alias APT38, Nickel Gladstone et Stardust Chollima), ce qui indique le partage de l’infrastructure et des outils entre ces acteurs de la menace.
« Citrine Sleet est basée en Corée du Nord et cible principalement les institutions financières, en particulier les organisations et les particuliers qui gèrent des cryptomonnaies, à des fins financières », a déclaré l’équipe Microsoft Threat Intelligence. dit.
« Dans le cadre de ses tactiques d’ingénierie sociale, Citrine Sleet a mené une reconnaissance approfondie de l’industrie des crypto-monnaies et des individus qui y sont associés. »
Les chaînes d’attaque impliquent généralement création de faux sites Web se faisant passer pour des plateformes de trading de crypto-monnaies légitimes qui cherchent à inciter les utilisateurs à installer des portefeuilles de crypto-monnaies militarisés ou des applications de trading qui facilitent le vol d’actifs numériques.
L’attaque zero-day observée par Citrine Sleet impliquait l’exploitation de CVE-2024-7971, une vulnérabilité de confusion de type de gravité élevée dans le moteur JavaScript V8 et WebAssembly qui pourrait permettre aux acteurs malveillants d’obtenir une exécution de code à distance (RCE) dans le processus de rendu Chromium en sandbox. Elle a été corrigée par Google dans le cadre des mises à jour publiées la semaine dernière.
Comme indiqué précédemment par The Hacker News, CVE-2024-7971 est le troisième bug de confusion de type activement exploité dans V8 que Google a résolu cette année après CVE-2024-4947 et CVE-2024-5274.
On ne sait pas encore précisément quelle était l’ampleur de ces attaques ni qui était visé, mais les victimes auraient été dirigées vers un site Web malveillant appelé voyagorclub.[.]espace probablement par le biais de techniques d’ingénierie sociale, déclenchant ainsi un exploit pour CVE-2024-7971.
L’exploit RCE, quant à lui, ouvre la voie à la récupération du shellcode contenant un exploit d’échappement du sandbox Windows (CVE-2024-38106) et le rootkit FudModule, qui est utilisé pour établir un accès administrateur au noyau des systèmes Windows afin d’autoriser les fonctions primitives de lecture/écriture et d’exécuter [direct kernel object manipulation] » . «
CVE-2024-38106, un bug d’escalade des privilèges du noyau Windows, est l’une des six failles de sécurité activement exploitées que Microsoft a corrigées dans le cadre de sa mise à jour Patch Tuesday d’août 2024. Cela dit, l’exploitation de la faille liée à Citrine Sleet s’est avérée avoir eu lieu après la publication du correctif.
« Cela peut suggérer une « collision de bugs », où la même vulnérabilité est découverte indépendamment par des acteurs de menace distincts, ou la connaissance de la vulnérabilité a été partagée par un chercheur en vulnérabilité avec plusieurs acteurs », a déclaré Microsoft.
CVE-2024-7971 est également la troisième vulnérabilité exploitée cette année par les acteurs malveillants nord-coréens pour abandonner le rootkit FudModule, après CVE-2024-21338 et CVE-2024-38193, qui sont tous deux des failles d’escalade de privilèges dans les pilotes Windows intégrés et ont été corrigées par Microsoft en février et août.
« La chaîne d’exploitation CVE-2024-7971 s’appuie sur plusieurs composants pour compromettre une cible, et cette chaîne d’attaque échoue si l’un de ces composants est bloqué, y compris CVE-2024-38106 », a déclaré la société.
« Les exploits zero-day nécessitent non seulement de maintenir les systèmes à jour, mais également des solutions de sécurité qui offrent une visibilité unifiée sur toute la chaîne de cyberattaque pour détecter et bloquer les outils d’attaque post-compromission et les activités malveillantes après l’exploitation. »