De Noord-Koreaanse dreigingsactor, bekend als Lazarus Group, wordt toegeschreven aan de zero-day exploitatie van een inmiddels gepatchte beveiligingsfout in Google Chrome om de controle over geïnfecteerde apparaten over te nemen.
Cybersecurityleverancier Kaspersky zei dat het in mei 2024 een nieuwe aanvalsketen ontdekte die zich richtte op de personal computer van een niet bij naam genoemde Russische staatsburger met de Manuscrypt-achterdeur.
Dit houdt in dat de zero-day-exploit wordt geactiveerd door simpelweg een nep-gamewebsite (“detankzone(.)com”) te bezoeken die gericht was op individuen in de cryptocurrency-sector. De campagne is naar schatting in februari 2024 van start gegaan.
“Oppervlakkig gezien leek deze website op een professioneel ontworpen productpagina voor een gedecentraliseerd financieel (DeFi) NFT-gebaseerd (niet-fungibel token) multiplayer online battle arena (MOBA) tankspel, waarin gebruikers worden uitgenodigd een proefversie te downloaden”, aldus Kaspersky-onderzoekers. Zeiden Boris Larin en Vasili Berdnikov.
“Maar dat was slechts een vermomming. Onder de motorkap zat een verborgen script dat in de Google Chrome-browser van de gebruiker draaide, waardoor een zero-day-exploit werd gelanceerd en de aanvallers volledige controle kregen over de pc van het slachtoffer.”
De kwetsbaarheid in kwestie is CVE-2024-4947, een typeverwarringsbug in de V8 JavaScript- en WebAssembly-engine die Google medio mei 2024 heeft gepatcht.
Het gebruik van een kwaadaardig tankspel (DeTankWar, DeFiTankWar, DeTankZone of TankWarsZone) als kanaal om malware te verspreiden is een tactiek die Microsoft heeft toegeschreven aan een ander Noord-Koreaans cluster van dreigingsactiviteiten genaamd Moonstone Sleet.
Deze aanvallen worden uitgevoerd door potentiële doelwitten te benaderen via e-mail- of berichtenplatforms en hen te misleiden om de game te installeren door zich voor te doen als een blockchain-bedrijf of een game-ontwikkelaar die op zoek is naar investeringsmogelijkheden.
De nieuwste bevindingen van Kaspersky voegen een nieuw stukje toe aan de aanvalspuzzel en benadrukken de rol die de zero-day browser-exploit in de campagne speelt.
Concreet bevat de exploit code voor twee kwetsbaarheden: de eerste wordt gebruikt om aanvallers lees- en schrijftoegang te geven tot de volledige adresruimte van het Chrome-proces vanuit JavaScript (CVE-2024-4947), en de tweede wordt misbruikt om de V8-zandbak.
“De (tweede) kwetsbaarheid is dat de virtuele machine een vast aantal registers heeft en een speciale array om deze op te slaan, maar de registerindexen worden gedecodeerd uit de instructielichamen en worden niet gecontroleerd”, leggen de onderzoekers uit. “Hierdoor kunnen aanvallers toegang krijgen tot het geheugen buiten de grenzen van de registerarray.”
De V8-sandbox-bypass werd in maart 2024 door Google gepatcht na een bugrapport dat op 20 maart 2024 werd ingediend. Dat gezegd hebbende, is het momenteel niet bekend of de aanvallers het eerder hebben ontdekt en als een zero-day hebben bewapend, of dat het zo was. misbruikt als een N-day-kwetsbaarheid.
Succesvolle exploitatie wordt gevolgd doordat de bedreigingsacteur een validator uitvoert die de vorm aanneemt van een shellcode die verantwoordelijk is voor het verzamelen van systeeminformatie, die vervolgens wordt gebruikt om te bepalen of de machine waardevol genoeg is om verdere post-exploitatieacties uit te voeren. De exacte lading die na deze fase wordt geleverd, is momenteel onbekend.
“Wat altijd indruk op ons blijft maken, is hoeveel moeite Lazarus APT in hun social engineering-campagnes steekt”, zei het Russische bedrijf, wijzend op het patroon van de bedreigingsacteur om contact op te nemen met invloedrijke figuren in de cryptocurrency-ruimte om hen te helpen hun kwaadaardige website te promoten.
“Gedurende een aantal maanden bouwden de aanvallers hun aanwezigheid op sociale media op, plaatsten regelmatig berichten op X (voorheen Twitter) vanuit meerdere accounts en promootten hun game met inhoud geproduceerd door generatieve AI en grafische ontwerpers.”
De activiteit van de aanvaller is waargenomen op X en LinkedIn, om nog maar te zwijgen van de speciaal vervaardigde websites en e-mailberichten die naar interessante doelwitten zijn verzonden.
De website is ook ontworpen om bezoekers ertoe te verleiden een ZIP-archief te downloaden (“detankzone.zip”) dat, eenmaal gelanceerd, een volledig functioneel downloadbaar spel is waarvoor spelersregistratie vereist is, maar ook code bevat om een aangepaste lader met de codenaam YouieLoad te starten, zoals voorheen gedetailleerd door Microsoft.
Bovendien wordt aangenomen dat de Lazarus Group de broncode voor de game heeft gestolen van een legitieme blockchain play-to-earn (P2E) game genaamd DeFiTankLand (DFTL), die in maart 2024 zelf werd gehackt en tot de diefstal leidde. van $ 20.000 aan DFTL2-munten.
Hoewel de projectontwikkelaars een insider de schuld gaven van de inbreuk, vermoedt Kaspersky dat de Lazarus Group erachter zat en dat ze de broncode van het spel naast de DFTL2-munten hebben gestolen en deze opnieuw hebben gebruikt om hun doelen te bereiken.
“Lazarus is een van de meest actieve en geavanceerde APT-actoren, en financieel gewin blijft een van hun belangrijkste motivaties”, aldus de onderzoekers.
“De tactieken van de aanvallers evolueren en ze komen voortdurend met nieuwe, complexe social engineering-plannen. Lazarus is al met succes begonnen met het gebruik van generatieve AI, en we voorspellen dat ze met nog uitgebreidere aanvallen zullen komen.”
