微软研究人员发现,北韩骇客组织滥用Chromium漏洞,以便在Windows PC核心植入恶意程式Fudmodule以窃取加密货币。
微软威胁情报小组暨微软安全回应中心在8月19日发现,北韩骇客滥用当时尚未发现的Chromium漏洞执执行远端程式码执行(remote code execution,RCE)。该漏洞后被命名为CVE-2024-7971。微软分析,这次攻击背后是名为Citrine Sleet的北韩骇客组织,他们在受害Windows PC核心植入rootkit程式FudModule。
CVE-2024-7971为存在Chromium V8 JavaScript及WebAssembly引擎的型态混淆漏洞,成功滥用可让攻击者在沙箱环境中的Chromium。受影响的是128.0.6613.84以前版本,Google已经在2024年8月21日释出新版修补。CVE-2024-7971也是继CVE-2024-4947和CVE-2024-5274后今年第三个V8型态混淆漏洞。
Citrine Sleet又被称为AppleJeus、Labyrinth Chollima、UNC4736和Hidden Cobra。过去这个组织经常锁定管理加密货币的金融机构或个人以获取财务利益。而在这次行动中,研究人员相信Citrine Sleet是透过社交工程诱骗用户点选钓鱼网站,当受害者连到恶意网域时,滥用CVE-2024-7971对沙箱环境的Chromium执行RCE,之后并在Windows记忆体中下载包含Windows沙箱逃逸(sandbox escape)攻击程式及FudModule rootkit的shellcode。
这个Windows沙箱逃逸攻击程式则另外滥用了另一个零时差Windows权限扩张漏洞CVE-2024-38106。一旦成功,FudModule rootkit即被载入Windows核心,利用直接核心物件操弄(direct kernel object manipulation,DKOM)手法,扰乱核心安全机制、从user mode执行指令,以及透过核心读写原语(primitive)执行核心窜改活动。微软推测,Citrine Sleet这波攻击也是意在窃取加密货币。
值得一提的是,CVE-2024-38106是由北韩骇客组织Diamond Sleet发现且首先滥用。但微软之前研究发现Citrine Sleet和Diamond Sleet曾共用某些基础架构和工具,因此微软推测,Diamond Sleet和Citrine Sleet可能共用了关于CVE-2024-38106的知识。
FudModule rootkit已多次在北韩骇客攻击中使用。例如2022年9月ESET及AhnLAb研究人员观察到骇客滥用CVE-2021-21551 Dell驱动程式漏洞植入FudModule变种,今年2月Avast研究人员也发现Windows AppLocker驱动程式漏洞(CVE-2024-21338)滥用。8月Gen Digital发现Winsock驱动程式漏洞CVE-2024-38193被Lazarus滥用后都被植入这个rootkit变种。
CVE-2024-21338及CVE-2024-38106、CVE-2024-38193分别由微软在2月及8月Patch Tuesday中修补。