Kuzey Koreli bilgisayar korsanları, bir Windows çekirdek istismarını kullanarak sistem ayrıcalıkları kazandıktan sonra Fudmodule rootkitini dağıtmak için yakın zamanda yamalı bir Google Chrome Zero Day'den (CVE-2024-7971) sömürdü.
Microsoft Cuma günü, "CVE-2024-7971'in gözlemlenen sömürüsünün, kripto para sektörünü finansal kazanç için hedefleyen bir Kuzey Kore tehdit aktörüne atfedilebileceğine dair yüksek güvenle değerlendiriyoruz." Dedi. -0139).
Diğer siber güvenlik satıcıları bu Kuzey Kore tehdit grubunu Applejeus, Labirent Chollima ve UNC4736 olarak izlerken, ABD hükümeti toplu olarak Kuzey Kore hükümeti tarafından gizli Cobra olarak sponsor olduğu kötü niyetli aktörleri ifade ediyor.
Citrine Sleet, kripto para birimi örgütlerine ve ilgili bireylere odaklanan finansal kurumları hedefliyor ve daha önce Kuzey Kore Keşif Genel Bürosu'nun Bürosu 121 ile bağlantılı.
Kuzey Koreli bilgisayar korsanları, potansiyel kurbanları sahte iş uygulamaları veya silahlandırılmış kripto para birimi cüzdanları veya ticaret uygulamaları ile enfekte etmek için meşru kripto para ticaret platformları olarak kamufle edilmiş kötü amaçlı web sitelerini kullandıkları bilinmektedir.
UNC4736, Trojanize X_trader yazılım oluşturmalarını zorlamak için bir hisse senedi ticareti otomasyon şirketi olan ticaret teknolojileri sitesini ihlal ettikleri daha önceki bir tedarik zinciri saldırısının ardından, Mart 2023'te Video Konferans Yazılımı Maker 3CX'in elektron tabanlı masaüstü istemcisini truva etti.
Google'ın Tehdit Analiz Grubu (TAG) ayrıca Applejeus'u Mart 2022 raporunda Ticaret Teknolojileri web sitesinden ödün vermeye bağladı. ABD hükümeti ayrıca, kripto para ile ilgili şirketleri ve Applejeus kötü amaçlı bireyleri olan bireyleri yıllarca hedefleyen Kuzey Koreli destekli devlet bilgisayar korsanları hakkında da uyardı.
Google, geçen hafta CVE-2024-7971 sıfır gününü yamaladı ve Chrome'un V8 JavaScript motorunda bir tür karışıklık zayıflığı olarak tanımladı. Bu güvenlik açığı, tehdit aktörlerinin, VoyagorClub [.] Uzayında saldırgan kontrollü bir web sitesine yönlendirilen hedeflerin sanalboxed Chromium oluşturucu sürecinde uzaktan kod yürütme kazanmasını sağladı.
Sandbox'tan kaçtıktan sonra, Windows çekirdeğindeki CVE-2024-38106 kusurunu hedefleyen bir Windows Sandbox Escape Exploit'i indirmek için tehlikeye atılan web tarayıcısını kullandılar (Salı günü bu ayın yaması sırasında sabit).
Tehdit aktörleri ayrıca Fudmodule rootkitini çekirdek kurcalama ve doğrudan çekirdek nesne manipülasyonu (DKOM) için kullanılan belleğe indirdi ve yükledi ve çekirdek güvenlik mekanizmalarını atlamalarına izin verdi.
Ekim 2022'deki keşfinden bu yana, bu rootkit, Citrine Sleet'in diğer kötü amaçlı araçları ve saldırı altyapısını paylaştığı başka bir Kuzey Koreli hack grubu olan Diamond Sleet tarafından da kullanılmıştır.
Microsoft Cuma günü yaptığı açıklamada, "13 Ağustos'ta Microsoft, Gen tehdit laboratuvarları tarafından tanımlanan Windows'taki AFD.SYS sürücüsünde (CVE-2024-38193) sıfır gün güvenlik açığını ele almak için bir güvenlik güncellemesi yayınladı." Dedi.
"Haziran ayı başlarında, Gen tehdit laboratuvarları, daha önce görülen yöneticiden kernel erişiminden ilerleyen tam standart kullanıcı-tüzük erişimini sağlayan Fudmodule rootkit'i kullanan bir saldırıda bu güvenlik açığını sömürdüğünü tespit etti."
Redmond, CVE-2024-7971 Chrome Zero-Day'den yararlanan saldırıları hedefleyen kuruluşlardan birinin daha önce Bluenoroff (veya Sapphire Squet) olarak izlenen başka bir Kuzey Kore tehdit grubu tarafından hedeflendiğini de sözlerine ekledi.
Rus APT29 Hacker'ları IOS, casus yazılım satıcıları tarafından oluşturulan krom istismarları kullanıyor
Google, bu yıl kullanıldığı gibi onuncu bir krom sıfır gün etiketliyor
Google, bu yıl kullanıldığı gibi etiketlenen dokuzuncu chrome sıfır gün
Güney Koreli hackerlar, kötü amaçlı yazılımları dağıtmak için WPS Ofisi Zero Day'den yararlandı
Google, Chrome Bug Bounty Ödüllerini 250.000 dolara kadar artırdı
Kaynak: Bleeping Computer