Hackers norte-coreanos atacam indústria de criptomoedas
2 de Setembro de 2024

Um falha de segurança recentemente corrigida no Google Chrome e outros navegadores web baseados em Chromium foi explorada como uma zero-day por atores norte-coreanos em uma campanha projetada para entregar o rootkit FudModule.

Este desenvolvimento é indicativo dos esforços persistentes feitos pelo adversário estatal, que havia feito um hábito de incorporar uma enxurrada de exploits zero-day do Windows em seu arsenal nos meses recentes.

A Microsoft, que detectou a atividade em 19 de agosto de 2024, atribuiu-a a um ator de ameaça que rastreia como Citrine Sleet (anteriormente DEV-0139 e DEV-1222), que também é conhecido como AppleJeus, Labyrinth Chollima, Nickel Academy, e UNC4736.

Avalia-se que seja um sub-cluster dentro do Grupo Lazarus (também conhecido como Diamond Sleet e Hidden Cobra).

Vale mencionar que o uso do malware AppleJeus foi previamente atribuído pela Kaspersky a outro subgrupo de Lazarus chamado BlueNoroff (também conhecido como APT38, Nickel Gladstone, e Stardust Chollima), indicativo da partilha de infraestrutura e conjunto de ferramentas entre esses atores de ameaça.

"Citrine Sleet está baseado na Coreia do Norte e tem como alvo principal instituições financeiras, particularmente organizações e indivíduos que gerenciam criptomoeda, para ganho financeiro," disse a equipe de Inteligência de Ameaças da Microsoft.

Como parte de suas táticas de engenharia social, Citrine Sleet realizou extensa reconhecimento da indústria de criptomoeda e indivíduos associados a ela.

As cadeias de ataque tipicamente envolvem a configuração de websites falsos que se fazem passar por plataformas legítimas de comércio de criptomoedas que buscam enganar os usuários para instalar carteiras ou aplicações de comércio de criptomoedas armadas que facilitam o roubo de ativos digitais.

O ataque de exploit zero-day observado por Citrine Sleet envolveu a exploração do CVE-2024-7971 , uma vulnerabilidade de confusão de tipo de alta severidade no motor V8 JavaScript e WebAssembly que poderia permitir a atores de ameaças a execução de código remoto (RCE) no processo renderizador do Chromium sandboxed.

Ele foi corrigido pelo Google como parte das atualizações lançadas na semana passada.

Como anteriormente declarado por The Hacker News, o CVE-2024-7971 é o terceiro bug de confusão de tipo ativamente explorado no V8 que o Google resolveu este ano após o CVE-2024-4947 e o CVE-2024-5274.

Atualmente não está claro quão generalizados foram esses ataques ou quem foi visado, mas diz-se que as vítimas foram direcionadas a um site malicioso chamado voyagorclub[.]space provavelmente através de técnicas de engenharia social, desencadeando assim um exploit para o CVE-2024-7971 .

O exploit RCE, por sua vez, abre caminho para a recuperação de shellcode contendo um exploit de escape do sandbox do Windows ( CVE-2024-38106 ) e o rootkit FudModule, que é usado para estabelecer acesso de administrador para kernel em sistemas baseados em Windows para permitir funções primitivas de leitura/escrita e realizar [manipulação direta de objetos do kernel]."

O CVE-2024-38106 , um bug de escalonamento de privilégio do kernel do Windows, é uma das seis falhas de segurança ativamente exploradas que a Microsoft corrigiu como parte de sua atualização de Patch Tuesday de agosto de 2024.

Dito isso, a exploração da falha ligada ao Citrine Sleet foi encontrada para ter ocorrido após a liberação do conserto.

"Isto pode sugerir uma 'colisão de bug', onde a mesma vulnerabilidade é descoberta independentemente por atores de ameaça diferentes, ou conhecimento da vulnerabilidade foi compartilhado por um pesquisador de vulnerabilidade a múltiplos atores," disse a Microsoft.

O CVE-2024-7971 também é a terceira vulnerabilidade que atores de ameaças norte-coreanos aproveitaram este ano para soltar o rootkit FudModule, seguindo o CVE-2024-21338 e CVE-2024-38193 , ambos são falhas de escalonamento de privilégio nos drivers internos do Windows e foram corrigidos pela Microsoft em fevereiro e agosto.

"A cadeia de exploração do CVE-2024-7971 depende de múltiplos componentes para comprometer um alvo, e esta cadeia de ataque falha se qualquer um desses componentes for bloqueado, incluindo o CVE-2024-38106 ," disse a empresa.

Exploits zero-day necessitam não apenas manter os sistemas atualizados, mas também soluções de segurança que proporcionam visibilidade unificada através da cadeia de ataque cibernético para detectar e bloquear ferramentas de atacantes pós-compromisso e atividade maliciosa seguinte à exploração.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...