Η βορειοκορεάτικη ομάδα hacking Lazarus εκμεταλλεύτηκε ένα Google Chrome zero-day που παρακολουθείται ως CVE-2024-4947 μέσω ενός πλαστού παιχνιδιού αποκεντρωμένης χρηματοδότησης (DeFi) που στοχεύει άτομα στον χώρο των κρυπτονομισμάτων.
Η Kaspersky ανακάλυψε τις επιθέσεις στις 13 Μαΐου 2024 και ανέφερε το ελάττωμα του Chrome zero-day στην Google.
Η Google εξέδωσε μια επιδιόρθωση για το CVE-2024-4947 στις 25 Μαΐου, με την έκδοση 125.0.6422.60/.61 του Chrome.
Παιχνίδια δεξαμενής Lazarus
Η Kaspersky ανακάλυψε την καμπάνια, η οποία ξεκίνησε τον Φεβρουάριο του 2024, αφού εντόπισε μια νέα παραλλαγή του κακόβουλου λογισμικού κερκόπορτας “Manuscrypt” στον προσωπικό υπολογιστή ενός από τους πελάτες της στη Ρωσία.
Ο Lazarus χρησιμοποιεί το Manuscrypt εδώ και χρόνια, αλλά οι ερευνητές εντυπωσιάστηκαν από το άτυπο εύρος στόχευσης του ηθοποιού απειλής, το οποίο φαινομενικά περιλάμβανε τυχαία άτομα.
Περαιτέρω τηλεμετρία έδειξε ότι το Google Chrome έγινε αντικείμενο εκμετάλλευσης πριν από τον εντοπισμό του νέου ωφέλιμου φορτίου Manuscrypt, με την εκμετάλλευση να προέρχεται από την “detankzone[.]com”. Αυτός ο ιστότοπος προώθησε ένα παιχνίδι διαδικτυακής μάχης για πολλούς παίκτες (MOBA) βασισμένο σε NFT με θέμα τα τανκς με το όνομα DeTankZone.
Ο Lazarus προώθησε το παιχνίδι σε μεγάλο βαθμό μέσω διαφημιστικών καμπανιών σε πλατφόρμες μέσων κοινωνικής δικτύωσης όπως το X, emails spear-phishing και premium λογαριασμούς LinkedIn που χρησιμοποιούνται σε άμεσες επιθέσεις σε στόχους υψηλής αξίας.
Κατά τη λήψη και τη δέσμευση της μηχανικής του παιχνιδιού, η Kaspersky ανακάλυψε ότι το παιχνίδι βασιζόταν σε κλεμμένο πηγαίο κώδικα από ένα νόμιμο παιχνίδι με το όνομα DeFiTankLand, το οποίο ο Lazarus είχε απλώς μετονομάσει για τους σκοπούς του.
Η λήψη ZIP των 400 MB ξεκινά όπως αναμενόταν, αλλά δεν λειτουργεί μετά την οθόνη σύνδεσης/εγγραφής, καθώς η υποδομή υποστήριξης για το παιχνίδι τερματίστηκε. Επιπλέον, δεν πραγματοποίησε κακόβουλες ενέργειες στο σύστημα του στόχου.
Η εκμετάλλευση του Google Chrome λαμβάνει χώρα στην αποταμιευτική ζώνη[.]com, ο ίδιος ο ιστότοπος, ο οποίος περιείχε ένα κρυφό σενάριο (index.tsx) σχεδιασμένο να ενεργοποιεί μια εκμετάλλευση για το CVE-2024-4947, μια σύγχυση τύπου στο V8, τη μηχανή Javascript του Chrome.
Πηγή: Kaspersky
Το σενάριο εκμετάλλευσης του Lazarus κατέστρεψε τη μνήμη του Chrome αξιοποιώντας τον μεταγλωττιστή JIT της εφαρμογής, Maglev, αντικαθιστώντας ενότητες που τελικά τους έδωσαν πρόσβαση σε ολόκληρο τον χώρο διευθύνσεων της διαδικασίας του Chrome.
Σε αυτό το στάδιο, οι εισβολείς μπορούσαν να έχουν πρόσβαση σε cookie, διακριτικά ελέγχου ταυτότητας, αποθηκευμένους κωδικούς πρόσβασης και ιστορικό περιήγησης.
Πηγή: Kaspersky
Το Sandbox V8 του Chrome απομονώνει την εκτέλεση JavaScript από το υπόλοιπο σύστημα, έτσι ο Lazarus χρησιμοποίησε ένα δεύτερο ελάττωμα στο V8 για να το ξεφύγει και να επιτύχει απομακρυσμένη εκτέλεση κώδικα, εκτελώντας shellcode στη μνήμη του συστήματος.
“Αυτό το ζήτημα (330404819) υποβλήθηκε και επιδιορθώθηκε τον Μάρτιο του 2024.” εξηγεί η Kaspersky σχετικά με το ελάττωμα διαφυγής V8.
“Είναι άγνωστο εάν επρόκειτο για σύγκρουση σφαλμάτων και οι επιτιθέμενοι το ανακάλυψαν πρώτοι και το εκμεταλλεύτηκαν αρχικά ως ευπάθεια 0 ημερών ή εάν αρχικά χρησιμοποιήθηκε ως ευπάθεια 1 ημέρας.”
Ο κωδικός του κελύφους που χρησιμοποιούσε ο Lazarus χρησιμεύει ως εργαλείο αναγνώρισης, βοηθώντας τους επιτιθέμενους να προσδιορίσουν εάν το παραβιασμένο μηχάνημα είναι αρκετά πολύτιμο για να συνεχίσει την επίθεση.
Συνέλεξε πληροφορίες CPU, BIOS και OS, πραγματοποίησε ελέγχους anti-VM και anti-debugging και έστειλε τις πληροφορίες στον διακομιστή εντολών και ελέγχου (C2) του Lazarus.
Η Kaspersky δεν είχε την ευκαιρία να εξετάσει τα επόμενα βήματα επίθεσης, καθώς, μέχρι τη στιγμή της ανάλυσής τους, ο Lazarus είχε αφαιρέσει το εκμετάλλευσή τους από την τοποθεσία δόλωμα.
Ωστόσο, με βάση τα άτομα που στόχευσε η κακόβουλη καμπάνια και το παρελθόν τους, ο απώτερος στόχος της επίθεσης ήταν πιθανό να κλέψει κρυπτονομίσματα.
VIA: bleepingcomputer.com
