Uma falha de segurança corrigida recentemente no Google Chrome e em outros navegadores Chromium foi explorada como um ataque de dia zero por agentes norte-coreanos em uma campanha projetada para distribuir o rootkit FudModule.
O desenvolvimento é indicativo dos esforços persistentes feitos pelo adversário-nação, que tinha o hábito de incorporar uma série de exploits de dia zero do Home windows em seu arsenal nos últimos meses.
A Microsoft, que detectou a atividade em 19 de agosto de 2024, atribuiu-a a um ator de ameaça que rastreia como Citrine Sleet (anteriormente DEV-0139 e DEV-1222), que também é conhecido como AppleJeus, Labyrinth Chollima, Nickel Academy e UNC4736. É avaliado como um subcluster dentro do Lazarus Group (também conhecido como Diamond Sleet e Hidden Cobra).
Vale mencionar que o uso do malware AppleJeus também foi atribuído anteriormente pela Kaspersky a outro subgrupo do Lazarus chamado BlueNoroff (também conhecido como APT38, Nickel Gladstone e Stardust Chollima), o que indica o compartilhamento de infraestrutura e conjunto de ferramentas entre esses agentes de ameaças.
“O Citrine Sleet está sediado na Coreia do Norte e tem como alvo principal instituições financeiras, particularmente organizações e indivíduos que gerenciam criptomoedas, para obter ganhos financeiros”, disse a equipe de Inteligência de Ameaças da Microsoft.
“Como parte de suas táticas de engenharia social, a Citrine Sleet conduziu um amplo reconhecimento do setor de criptomoedas e de indivíduos associados a ele.”
As cadeias de ataque geralmente envolvem a criação de websites falsos que se passam por plataformas legítimas de negociação de criptomoedas e buscam induzir os usuários a instalar carteiras de criptomoedas como armas ou aplicativos de negociação que facilitam o roubo de ativos digitais.
O ataque de exploração de dia zero observado pelo Citrine Sleet envolveu a exploração de CVE-2024-7971, uma vulnerabilidade de confusão de tipo de alta gravidade no mecanismo V8 JavaScript e WebAssembly que poderia permitir que agentes de ameaças obtivessem execução remota de código (RCE) no processo de renderização do Chromium em sandbox. Ele foi corrigido pelo Google como parte das atualizações lançadas na semana passada.
Conforme declarado anteriormente pelo The Hacker Information, o CVE-2024-7971 é o terceiro bug de confusão de tipos explorado ativamente no V8 que o Google resolveu este ano, depois do CVE-2024-4947 e do CVE-2024-5274.
Atualmente, não está claro o quão disseminados esses ataques foram ou quem foi o alvo, mas as vítimas teriam sido direcionadas a um website malicioso chamado voyagorclub(.)area, provavelmente por meio de técnicas de engenharia social, desencadeando assim uma exploração para CVE-2024-7971.
O exploit RCE, por sua vez, abre caminho para a recuperação de shellcode contendo um exploit de escape de sandbox do Home windows (CVE-2024-38106) e o rootkit FudModule, que é usado para estabelecer acesso de administrador ao kernel em sistemas baseados em Home windows para permitir funções primitivas de leitura/gravação e executar (manipulação direta de objetos do kernel).”
CVE-2024-38106, um bug de escalonamento de privilégios do kernel do Home windows, é uma das seis falhas de segurança ativamente exploradas que a Microsoft corrigiu como parte de sua atualização Patch Tuesday de agosto de 2024. Dito isso, descobriu-se que a exploração da falha vinculada ao Citrine Sleet ocorreu após o lançamento da correção.
“Isso pode sugerir uma 'colisão de bugs', onde a mesma vulnerabilidade é descoberta independentemente por agentes de ameaças separados, ou o conhecimento da vulnerabilidade foi compartilhado por um pesquisador de vulnerabilidades com vários agentes”, disse a Microsoft.
CVE-2024-7971 também é a terceira vulnerabilidade que os agentes de ameaças norte-coreanos aproveitaram este ano para remover o rootkit FudModule, seguindo CVE-2024-21338 e CVE-2024-38193, ambas falhas de escalonamento de privilégios nos drivers integrados do Home windows e corrigidas pela Microsoft em fevereiro e agosto.
“A cadeia de exploração CVE-2024-7971 depende de vários componentes para comprometer um alvo, e essa cadeia de ataque falha se qualquer um desses componentes for bloqueado, incluindo CVE-2024-38106”, disse a empresa.
“Explorações de dia zero exigem não apenas manter os sistemas atualizados, mas também soluções de segurança que forneçam visibilidade unificada em toda a cadeia de ataques cibernéticos para detectar e bloquear ferramentas de ataque pós-comprometimento e atividades maliciosas após a exploração.”
