O ator norte-coreano conhecido como Lazarus Group foi atribuído à exploração de dia zero de uma falha de segurança agora corrigida no Google Chrome para assumir o controle de dispositivos infectados.
O fornecedor de segurança cibernética Kaspersky disse que descobriu uma nova cadeia de ataque em maio de 2024 que tinha como alvo o computador pessoal de um cidadão russo não identificado com o backdoor Manuscrypt.
Isso envolve o acionamento da exploração de dia zero simplesmente ao visitar um web site de jogo falso (“detankzone(.)com”) direcionado a indivíduos do setor de criptomoedas. Estima-se que a campanha tenha começado em fevereiro de 2024.
“Superficialmente, este web site parecia uma página de produto projetada profissionalmente para um jogo de tanques multijogador on-line de area de batalha (MOBA) de finanças descentralizadas (DeFi) baseado em NFT (token não fungível), convidando os usuários a baixar uma versão de teste”, pesquisadores da Kaspersky Boris Larin e Vasily Berdnikov disseram.
“Mas isso foi apenas um disfarce. Nos bastidores, este web site tinha um script oculto que period executado no navegador Google Chrome do usuário, lançando uma exploração de dia zero e dando aos invasores controle whole sobre o PC da vítima.”
A vulnerabilidade em questão é CVE-2024-4947, um bug de confusão de tipos no mecanismo V8 JavaScript e WebAssembly que o Google corrigiu em meados de maio de 2024.
O uso de um jogo de tanque malicioso (DeTankWar, DeFiTankWar, DeTankZone ou TankWarsZone) como canal para entregar malware é uma tática que a Microsoft atribuiu a outro cluster de atividades de ameaças norte-coreano chamado Moonstone Sleet.
Esses ataques são realizados abordando possíveis alvos por meio de e-mail ou plataformas de mensagens, enganando-os para que instalem o jogo, fazendo-se passar por uma empresa de blockchain ou um desenvolvedor de jogos em busca de oportunidades de investimento.
As últimas descobertas da Kaspersky acrescentam outra peça ao quebra-cabeça do ataque, destacando o papel desempenhado pela exploração de dia zero do navegador na campanha.
Especificamente, a exploração contém código para duas vulnerabilidades: a primeira é usada para dar aos invasores acesso de leitura e gravação a todo o espaço de endereço do processo do Chrome a partir do JavaScript (CVE-2024-4947), e a segunda é usada para contornar o problema. Caixa de areia V8.
“A (segunda) vulnerabilidade é que a máquina digital possui um número fixo de registros e um array dedicado para armazená-los, mas os índices dos registros são decodificados a partir dos corpos das instruções e não são verificados”, explicaram os pesquisadores. “Isso permite que invasores acessem a memória fora dos limites da matriz de registros.”
O desvio do sandbox V8 foi corrigido pelo Google em março de 2024, após um relatório de bug enviado em 20 de março de 2024. Dito isso, atualmente não se sabe se os invasores o descobriram antes e o transformaram em arma como um dia zero, ou se foi explorado como uma vulnerabilidade de N dias.
A exploração bem-sucedida é seguida pelo agente da ameaça executando um validador que assume a forma de um shellcode responsável por coletar informações do sistema, que é então usado para determinar se a máquina é valiosa o suficiente para realizar outras ações pós-exploração. A carga exata entregue após este estágio é atualmente desconhecida.
“O que nunca deixa de nos impressionar é quanto esforço a Lazarus APT coloca em suas campanhas de engenharia social”, disse a empresa russa, apontando o padrão do ator de ameaça de entrar em contato com figuras influentes no espaço das criptomoedas para ajudá-los a promover seu web site malicioso.
“Durante vários meses, os atacantes construíram a sua presença nas redes sociais, publicando regularmente no X (antigo Twitter) a partir de múltiplas contas e promovendo o seu jogo com conteúdo produzido por IA generativa e designers gráficos”.
A atividade do invasor foi observada no X e no LinkedIn, sem mencionar os websites especialmente criados e as mensagens de e-mail enviadas para alvos de interesse.
O web site também foi projetado para atrair visitantes para que baixem um arquivo ZIP (“detankzone.zip”) que, uma vez lançado, é um jogo para obtain totalmente funcional que requer registro do jogador, mas também contém código para iniciar um carregador personalizado com o codinome YouieLoad, como anteriormente detalhado pela Microsoft.
Além do mais, acredita-se que o Grupo Lazarus roubou o código-fonte do jogo de um jogo legítimo de blockchain play-to-earn (P2E) chamado DeFiTankLand (DFTL), que sofreu um hack em março de 2024, levando ao roubo. de US$ 20.000 em moedas DFTL2.
Embora os desenvolvedores do projeto tenham culpado um membro interno pela violação, a Kaspersky suspeita que o Grupo Lazarus estava por trás disso e que eles roubaram o código-fonte do jogo junto com as moedas DFTL2 e o redirecionaram para alcançar seus objetivos.
“Lazarus é um dos atores APT mais ativos e sofisticados, e o ganho financeiro continua sendo uma de suas principais motivações”, disseram os pesquisadores.
“As táticas dos invasores estão evoluindo e eles estão constantemente criando novos e complexos esquemas de engenharia social. A Lazarus já começou a usar IA generativa com sucesso e prevemos que eles criarão ataques ainda mais elaborados usando-a.”