Kuzey Koreli Lazarus hackleme grubu, kripto para alanındaki bireyleri hedefleyen sahte merkezi olmayan finans (DEFI) oyunuyla CVE-2024-4947 olarak izlenen bir Google Chrome sıfır gününü kullandı.
Kaspersky, 13 Mayıs 2024'teki saldırıları keşfetti ve Chrome Zero-Day Kusurunu Google'a bildirdi.
Google, 25 Mayıs'ta Chrome sürümü 125.0.6422.60/.61 ile CVE-2024-4947 için bir düzeltme yaptı.
Kaspersky, Rusya'daki müşterilerinden birinin kişisel bilgisayarında "manuscrypt" arka kapı kötü amaçlı yazılımının yeni bir varyantını tespit ettikten sonra Şubat 2024'te başlayan kampanyayı keşfetti.
Lazarus yıllardır Manuscrypt'i kullanıyor, ancak araştırmacılar, görünüşte rastgele bireyleri içeren tehdit oyuncusu atipik hedefleme kapsamı tarafından ilgilendi.
Daha fazla telemetri, yeni manuscrypt yükünün tespit edilmesinden önce Google Chrome'un sömürüldüğünü ve sömürü "Detankzone [.] Com" web sitesinden kaynaklandığını gösterdi. Bu web sitesi, Detankzone adlı tankların etrafında temalı NFT tabanlı çok oyunculu çevrimiçi savaş arenası (MOBA) oyunu tanıttı.
Lazarus, X gibi sosyal medya platformlarında reklam kampanyaları, mızrak aktı e-postaları ve yüksek değerli hedeflere doğrudan saldırılarda kullanılan premium LinkedIn hesapları aracılığıyla oyunu büyük ölçüde tanıttı.
Oyunu indirme ve yedek mühendislik yaptıktan sonra Kaspersky, oyunun Lazarus'un amaçları için yeniden markaladığı DeFitankland adlı meşru bir oyundan çalınan kaynak koduna dayandığını keşfetti.
400MB Zip İndirmesi beklendiği gibi piyasaya sürülür, ancak oyun için arka uç altyapısı kapatıldığından giriş/kayıt ekranından geçmez. Ayrıca, hedefin sistemi üzerinde herhangi bir kötü niyetli eylem gerçekleştirmedi.
Google Chrome sömürüsü, Chrome'un JavaScript motoru V8'de bir tür karışıklık olan CVE-2024-4947 için bir istismar tetiklemek için tasarlanmış gizli bir komut dosyası (dizin.tsx) içeren Detankzone [.] COM web sitesinde gerçekleşir.
Lazarus'un istismar komut dosyası, uygulamanın JIT derleyicisi Maglev, sonunda Chrome'un sürecinin tüm adres alanına erişim sağlayan bölümlerin üzerine yazma bölümlerinden yararlanarak Chrome'un hafızasını bozdu.
Bu aşamada, saldırganlar çerezlere, kimlik doğrulama jetonlarına, kaydetmiş şifrelere ve tarama geçmişine erişebilir.
Chrome'un V8 Sandbox, JavaScript yürütmeyi sistemin geri kalanından izole eder, bu nedenle Lazarus, kaçmak ve uzaktan kod yürütme elde etmek için V8'de ikinci bir kusur kullandı ve sistemin belleğinde kabuk kodu yürüttü.
"Bu sorun (330404819) Mart 2024'te sunuldu ve düzeltildi," diye açıklıyor Kaspersky V8 kaçış kusuru hakkında.
Diyerek şöyle devam etti: "Bir hata çarpışması olup olmadığı ve saldırganların önce keşfetip keşfetmediği bilinmiyor ve başlangıçta 0 günlük bir güvenlik açığı olarak sömürüldü veya başlangıçta 1 günlük bir güvenlik açığı olarak sömürüldü."
Lazarus'un kullandığı Shellcode, bir keşif aracı olarak hizmet eder ve saldırganların tehlikeye atılan makinenin saldırıya devam edecek kadar değerli olup olmadığını belirlemelerine yardımcı olur.
CPU, BIOS ve işletim sistemi bilgilerini topladı, anti-VM ve anti-kötü niyetli kontroller gerçekleştirdi ve bilgileri Lazarus'un komut ve kontrol (C2) sunucusuna gönderdi.
Kaspersky, sonraki saldırı adımlarını inceleme şansına sahip değildi, çünkü analizleri sırasında Lazarus, sömürüslerini tuzak bölgesinden çıkarmıştı.
Bununla birlikte, kötü niyetli kampanyanın hedeflediği insanlara ve geçmiş tarihlerine dayanarak, saldırının nihai hedefi kripto para birimini çalacaktı.
Samsung Galaxy S24 ve Sonos Era, PWN2OWN İrlanda 2. Günü'nde hacklendi
Mantiant, yeni Fortinet kusurunun Haziran ayından beri kullanıldığını söylüyor
Fortinet, sıfır gün saldırılarında kullanılan yeni eleştirel fortimanager kusurunu uyarıyor
Bilgisayar korsanları Pwn2own İrlanda'nın ilk gününde 52 sıfır gün istismar
ABD'de suçlanan siber suç kara para aklama platformlarının Rus operatörleri
Kaynak: Bleeping Computer