Een onlangs gepatchte beveiligingsfout in Google Chrome en andere Chromium-webbrowsers werd door Noord-Koreaanse actoren uitgebuit als een zero-day in een campagne die gericht was op het verspreiden van de FudModule-rootkit.
Deze ontwikkeling is een teken van de aanhoudende inspanningen van de vijandige natiestaat, die er de afgelopen maanden een gewoonte van maakte om talloze Windows zero-day-exploits in zijn arsenaal op te nemen.
Microsoft, dat de activiteit op 19 augustus 2024 ontdekte, schreef het toe aan een dreigingsactor die het volgt als Citrine Sleet (voorheen DEV-0139 en DEV-1222), ook bekend als AppleJeus, Labyrinth Chollima, Nickel Academy en UNC4736. Het wordt beoordeeld als een subcluster binnen de Lazarus Group (ook bekend als Diamond Sleet en Hidden Cobra).
Het is de moeite waard om te vermelden dat Kaspersky het gebruik van de AppleJeus-malware eerder al toeschreef aan een andere Lazarus-subgroep, namelijk BlueNoroff (ook bekend als APT38, Nickel Gladstone en Stardust Chollima). Dit is een indicatie van de gedeelde infrastructuur en toolset tussen deze dreigingsactoren.
“Citrine Sleet is gevestigd in Noord-Korea en richt zich voornamelijk op financiële instellingen, met name organisaties en personen die cryptovaluta beheren, voor financieel gewin”, aldus het Microsoft Threat Intelligence-team.
“Als onderdeel van haar social engineering-tactieken heeft Citrine Sleet uitgebreid onderzoek gedaan naar de cryptovaluta-industrie en de personen die daarbij betrokken zijn.”
De aanvalsketens bestaan doorgaans uit het opzetten van nepwebsites die zich voordoen als legitieme platforms voor cryptovalutahandel. Deze websites proberen gebruikers ertoe te verleiden om cryptovaluta-wallets of handelsapplicaties te installeren die de diefstal van digitale activa vergemakkelijken.
De waargenomen zero-day exploit-aanval door Citrine Sleet betrof de exploitatie van CVE-2024-7971, een type confusion-kwetsbaarheid met hoge ernst in de V8 JavaScript- en WebAssembly-engine die het voor kwaadwillenden mogelijk zou kunnen maken om remote code execution (RCE) te verkrijgen in het sandboxed Chromium-rendererproces. Het werd gepatcht door Google als onderdeel van updates die vorige week werden uitgebracht.
Zoals eerder gemeld door The Hacker News is CVE-2024-7971 de derde actief uitgebuite type confusion bug in V8 die Google dit jaar heeft opgelost, na CVE-2024-4947 en CVE-2024-5274.
Het is momenteel niet duidelijk hoe wijdverbreid deze aanvallen waren of wie het doelwit was, maar de slachtoffers zouden naar een schadelijke website met de naam voyagorclub(.)space zijn geleid, waarschijnlijk via social engineering-technieken, waardoor een exploit voor CVE-2024-7971 werd geactiveerd.
De RCE-exploit maakt op zijn beurt de weg vrij voor het ophalen van shellcode die een Windows sandbox escape-exploit (CVE-2024-38106) en de FudModule-rootkit bevat, die wordt gebruikt om beheerderstoegang tot de kernel tot Windows-systemen te verkrijgen om primitieve lees-/schrijffuncties en uitvoering (directe manipulatie van kernelobjecten) mogelijk te maken.
CVE-2024-38106, een Windows kernel privilege escalation bug, is een van de zes actief uitgebuite beveiligingslekken die Microsoft heeft verholpen als onderdeel van de Patch Tuesday-update van augustus 2024. Dat gezegd hebbende, is gebleken dat de Citrine Sleet-gerelateerde exploitatie van het lek heeft plaatsgevonden nadat de fix was uitgebracht.
“Dit kan duiden op een ‘bug collision’, waarbij dezelfde kwetsbaarheid onafhankelijk van elkaar door verschillende dreigingsactoren wordt ontdekt, of waarbij kennis over de kwetsbaarheid door één kwetsbaarheidsonderzoeker met meerdere actoren werd gedeeld”, aldus Microsoft.
CVE-2024-7971 is tevens de derde kwetsbaarheid die Noord-Koreaanse cybercriminelen dit jaar hebben misbruikt om de FudModule-rootkit te installeren, na CVE-2024-21338 en CVE-2024-38193. Beide zijn fouten in de ingebouwde Windows-stuurprogramma’s die privilege-escalatie veroorzaken en die in februari en augustus door Microsoft zijn opgelost.
“De CVE-2024-7971-exploitketen is afhankelijk van meerdere componenten om een doelwit te compromitteren. Deze aanvalsketen mislukt als een van deze componenten wordt geblokkeerd, inclusief CVE-2024-38106”, aldus het bedrijf.
“Bij zero-day-exploits is het niet alleen nodig om systemen up-to-date te houden, maar ook om beveiligingsoplossingen te vinden die een uniform inzicht bieden in de gehele cyberaanvalsketen. Zo kunnen we na de aanval schadelijke aanvallerstools en schadelijke activiteiten detecteren en blokkeren.”