L’acteur nord-coréen Lazarus Group a été attribué à l’exploitation Zero Day d’une faille de sécurité désormais corrigée dans Google Chrome pour prendre le contrôle des appareils infectés.
Le fournisseur de cybersécurité Kaspersky a déclaré avoir découvert une nouvelle chaîne d’attaque en mai 2024 qui ciblait l’ordinateur personnel d’un ressortissant russe anonyme avec la porte dérobée Manuscrypt.
Cela implique de déclencher l’exploit zero-day simplement en visitant un faux site Web de jeu (« detankzone[.]com ») qui s’adressait aux particuliers du secteur des cryptomonnaies. On estime que la campagne a débuté en février 2024.
« En apparence, ce site Web ressemblait à une page produit conçue par des professionnels pour un jeu de tank multijoueur d’arène de combat en ligne (MOBA) multijoueur basé sur la finance décentralisée (DeFi) NFT (jeton non fongible), invitant les utilisateurs à télécharger une version d’essai », chercheurs de Kaspersky Boris Larine et Vassili Berdnikov dit.
« Mais ce n’était qu’un déguisement. Sous le capot, ce site Web contenait un script caché qui s’exécutait dans le navigateur Google Chrome de l’utilisateur, lançant un exploit zero-day et donnant aux attaquants un contrôle total sur le PC de la victime. »
La vulnérabilité en question est CVE-2024-4947, un bug de confusion de types dans le moteur JavaScript et WebAssembly V8 que Google a corrigé à la mi-mai 2024.
L’utilisation d’un jeu de tank malveillant (DeTankWar, DeFiTankWar, DeTankZone ou TankWarsZone) comme canal pour diffuser des logiciels malveillants est une tactique que Microsoft a attribuée à un autre cluster d’activités de menace nord-coréen baptisé Moonstone Sleet.
Ces attaques sont menées en approchant des cibles potentielles par courrier électronique ou sur des plateformes de messagerie, les incitant à installer le jeu en se faisant passer pour une société blockchain ou un développeur de jeux à la recherche d’opportunités d’investissement.
Les dernières découvertes de Kaspersky ajoutent une autre pièce au puzzle de l’attaque, soulignant le rôle joué par l’exploit du navigateur Zero Day dans la campagne.
Plus précisément, l’exploit contient du code pour deux vulnérabilités : la première est utilisée pour donner aux attaquants un accès en lecture et en écriture à l’intégralité de l’espace d’adressage du processus Chrome à partir du JavaScript (CVE-2024-4947), et la seconde est utilisée de manière abusive pour contourner le Bac à sable V8.
« Le [second] « La vulnérabilité est que la machine virtuelle dispose d’un nombre fixe de registres et d’un tableau dédié pour les stocker, mais les index des registres sont décodés à partir des corps d’instructions et ne sont pas vérifiés », ont expliqué les chercheurs. « Cela permet aux attaquants d’accéder à la mémoire en dehors du limites du tableau de registres. »
Le contournement du bac à sable V8 était patché par Google en mars 2024 à la suite d’un rapport de bug soumis le 20 mars 2024. Cela dit, on ne sait pas actuellement si les attaquants l’ont découvert plus tôt et l’ont utilisé comme une arme de type zéro jour, ou s’il a été exploité comme un jour N. vulnérabilité.
Une exploitation réussie est suivie par l’acteur malveillant qui exécute un validateur qui prend la forme d’un shellcode chargé de collecter des informations sur le système, qui est ensuite utilisé pour déterminer si la machine est suffisamment précieuse pour mener d’autres actions post-exploitation. La charge utile exacte livrée après cette étape est actuellement inconnue.
« Ce qui ne cesse de nous impressionner, c’est les efforts déployés par Lazarus APT dans ses campagnes d’ingénierie sociale », a déclaré la société russe, soulignant la tendance des acteurs malveillants à contacter des personnalités influentes dans le domaine des cryptomonnaies pour les aider à promouvoir leur site Web malveillant.
« Pendant plusieurs mois, les attaquants ont renforcé leur présence sur les réseaux sociaux, publiant régulièrement des publications sur X (anciennement Twitter) à partir de plusieurs comptes et faisant la promotion de leur jeu avec du contenu produit par une IA générative et des graphistes. »
L’activité de l’attaquant a été observée sur X et LinkedIn, sans parler des sites Web spécialement conçus et des messages électroniques envoyés à des cibles d’intérêt.
Le site Web est également conçu pour inciter les visiteurs à télécharger une archive ZIP (« detankzone.zip ») qui, une fois lancée, est un jeu téléchargeable entièrement fonctionnel qui nécessite l’enregistrement du joueur, mais qui contient également du code pour lancer un chargeur personnalisé nommé YouieLoad, comme précédemment. détaillé par Microsoft.
De plus, on pense que le groupe Lazarus a volé le code source du jeu à un jeu légitime de type blockchain (P2E) nommé DeFiTankLand (DFTL), qui a subi un hack de son propre chef en mars 2024, entraînant le vol de 20 000 $ de pièces DFTL2.
Bien que les développeurs du projet aient imputé la violation à un interne, Kaspersky soupçonne que le groupe Lazarus était à l’origine de cette violation et qu’ils ont volé le code source du jeu ainsi que les pièces DFTL2 et l’ont réutilisé pour atteindre leurs objectifs.
« Lazarus est l’un des acteurs APT les plus actifs et les plus sophistiqués, et le gain financier reste l’une de leurs principales motivations », ont déclaré les chercheurs.
« Les tactiques des attaquants évoluent et ils proposent constamment de nouveaux schémas d’ingénierie sociale complexes. Lazarus a déjà commencé avec succès à utiliser l’IA générative, et nous prévoyons qu’ils proposeront des attaques encore plus élaborées en l’utilisant. »