Een Chrome zero-day werd uitgebuit door Noord-Koreaanse hackers

Google Chrome ontving onlangs een patch voor een kwetsbaarheid die gericht was op cryptocurrency-platforms. Het beveiligingslek werd geclassificeerd als zero-day, wat betekent dat het een tijdje bestond zonder dat het bedrijf het wist. Nu is bekend dat Noord-Koreaanse hackers misbruik maakten van Chrome’s zero-day om malware en een rootkit te injecteren.

De kwetsbaarheid had invloed op zowel Chrome als Chromium-gebaseerde browsers van derden, zoals Edge. Daarom gaf Microsoft meer specifieke details in een blogpost. CVE-2024-7971, de gevolgde kwetsbaarheid, is bedoeld om op afstand code uit te voeren en de FudModule-rootkit te installeren op het apparaat van het slachtoffer. De aanvallers maakten ook gebruik van CVE-2024-38106, een kwetsbaarheid in de Windows-kernel, om SYSTEM-privileges te verkrijgen. Microsoft heeft die kwetsbaarheid onlangs ook gepatcht.

Noord-Koreaanse hackers misbruikten de zero-day-kwetsbaarheid van Chrome voordat deze werd ontdekt

Een zero-day is een kwetsbaarheid waarvan de softwareontwikkelaar niet op de hoogte is. Daarom kunnen kwaadwillende derden er misbruik van maken, omdat er nog geen officiële patch is. De naam “zero-day” komt van het feit dat de ontwikkelaar nul dagen heeft om het te repareren als het eenmaal is ontdekt, omdat het al kan worden misbruikt. In het geval van Chromium was het getroffen onderdeel V8, de JavaScript-code-uitvoeringsengine van de browser.

De V8-engine van Chromium was kwetsbaar voor type confusion-based-aanvallen. Volgens MITRE wijst dit type aanval “een resource toe of initialiseert deze, zoals een pointer, object of variabele met behulp van één type, maar het benadert die resource later met behulp van een type dat niet compatibel is met het oorspronkelijke type.” Confusion-based-aanvallen kunnen “logische fouten veroorzaken omdat de resource niet de verwachte eigenschappen heeft”, wat resulteert in out-of-bounds geheugentoegang. Daarna konden aanvallers externe code-uitvoering in de browser bereiken, waarvan ze gebruikmaakten om de gebruiker om te leiden naar de kwaadaardige website voyagorclub(.)space.

Op dit punt proberen de aanvallers een exploit te installeren die gericht is op de hierboven genoemde Windows-kwetsbaarheid CVE-2024-38106. Als de aanval succesvol was, zouden de aanvallers SYSTEM-privileges hebben verkregen, wat slecht nieuws is. De hackers hadden zelfs geavanceerde methoden om de beveiliging op kernelniveau te omzeilen. Ze injecteerden de FudModule-rootkit, waarmee ze naar de kernel kunnen schrijven en deze naar believen kunnen manipuleren. Aanvallen op basis van FudModule staan ​​bekend als directe kernelobjectmanipulatie (DKOM)-bewerkingen.

Microsoft geeft Zuid-Koreaanse groep Citrine Sleet de schuld

Volgens Microsoft maakte de Noord-Koreaanse hackersgroep Citrine Sleet misbruik van de combinatie van Chrome en Windows-kwetsbaarheid. De gigant uit Redmond zegt dat de groep “vooral financiële instellingen, met name organisaties en individuen die cryptovaluta beheren, als doelwit heeft voor financieel gewin.” Soortgelijke groepen gebruiken vaak aanvalsmethoden zoals het klonen van platforms of het trojaniseren van pop-uk-software. Ze infecteerden zelfs X_TRADER, een populaire software voor het automatiseren van aandelenhandel, nadat ze de officiële website hadden “gekaapt”.

Het is opmerkelijk dat andere cybersecurityleveranciers deze aanvallen volgen onder namen als AppleJeus, Labyrinth Chollima en UNC4736. Dit suggereert dat hoewel het verschillende groepen zijn, ze allemaal technologieën en methoden delen. Het zou nu onmogelijk moeten zijn om de “truc” van de hackers te gebruiken. Het zou echter interessant zijn om te weten hoeveel platforms het slachtoffer zijn geworden van gerelateerde aanvallen. Aangezien de FudModule-rootkit voor het eerst werd gedetecteerd in 2022, is het mogelijk dat hackers de methode al minstens twee jaar misbruiken.

Thijs Van der Does