Северокорейские хакеры внедряли руткит FudModule через уязвимость нулевого дня в Chrome

Уже устранённая уязвимость в Google Chrome и других браузерах на движке Chromium использовалась северокорейскими хакерами как эксплойт нулевого дня для доставки руткита FudModule. Атака подтверждает: киберпреступники, связанные с властями КНДР, продолжают методично собирать арсенал из уязвимостей нулевого дня в Windows и активно применять его в реальных операциях.

Кто стоит за атакой

Активность зафиксировала Microsoft 19 августа 2024 года и приписала её группировке, которую компания отслеживает под именем Citrine Sleet (ранее известна как DEV-0139 и DEV-1222). В индустрии эту же группу называют AppleJeus, Labyrinth Chollima, Nickel Academy и UNC4736. По оценке Microsoft, это подкластер внутри более крупной группировки Lazarus Group (также известной как Diamond Sleet и Hidden Cobra).

Примечательно, что вредонос AppleJeus ранее также приписывался «Лаборатории Касперского» другой подгруппе Lazarus — BlueNoroff (она же APT38, Nickel Gladstone и Stardust Chollima). Это указывает на то, что разные северокорейские кластеры делят между собой инфраструктуру и инструментарий.

«Citrine Sleet базируется в Северной Корее и в первую очередь атакует финансовые организации — особенно компании и частных лиц, работающих с криптовалютой, — ради финансовой выгоды», — сообщила команда Microsoft Threat Intelligence. По её данным, группа проводит масштабную разведку в криптовалютной индустрии, изучая как компании, так и конкретных людей, связанных с этой отраслью. Типичная схема атаки — создание поддельных сайтов, маскирующихся под легитимные криптобиржи, которые заманивают жертв на установку заражённых криптокошельков или торговых приложений для кражи цифровых активов.

Цепочка эксплойтов

Атаки Citrine Sleet строились вокруг CVE-2024-7971 — уязвимости высокой степени опасности типа type confusion в движке V8 (JavaScript и WebAssembly), позволявшей получить удалённое выполнение кода (RCE) в песочнице рендерера Chromium. Google закрыла эту уязвимость незадолго до публикации материала. Как отмечает The Hacker News, это уже третья активно эксплуатируемая брешь типа type confusion в V8, устранённая Google в 2024 году — после CVE-2024-4947 и CVE-2024-5274.

Точный масштаб атак и круг жертв пока не установлены, но известно, что пострадавших с помощью методов социальной инженерии заманивали на вредоносный сайт voyagorclub.space, где и срабатывал эксплойт для CVE-2024-7971.

Успешный RCE-эксплойт открывал путь к загрузке шелл-кода, который включал в себя эксплойт для побега из песочницы Windows (CVE-2024-38106) и сам руткит FudModule. Последний используется для получения доступа уровня admin-to-kernel в системах Windows, позволяющего выполнять примитивы чтения и записи и манипулировать объектами ядра напрямую (direct kernel object manipulation, DKOM).

CVE-2024-38106 — уязвимость повышения привилегий в ядре Windows, одна из шести активно эксплуатируемых брешей, закрытых Microsoft в рамках августовского «вторника патчей» 2024 года. При этом эксплуатация этой уязвимости группировкой Citrine Sleet была зафиксирована уже после выхода патча. «Это может говорить о так называемом bug collision — когда одна и та же уязвимость независимо обнаруживается разными злоумышленниками, либо сведения о ней передавались одним исследователем сразу нескольким сторонам», — отметили в Microsoft.

CVE-2024-7971 стала уже третьей уязвимостью, которую северокорейские хакеры использовали в 2024 году для доставки FudModule — после CVE-2024-21338 и CVE-2024-38193, брешей повышения привилегий во встроенных драйверах Windows appid.sys и AFD.sys, закрытых Microsoft в феврале и августе соответственно.

«Цепочка эксплойтов для CVE-2024-7971 опирается на несколько компонентов, и вся атака срывается, если заблокирован хотя бы один из них, включая CVE-2024-38106, — заявили в Microsoft. — Эксплойты нулевого дня требуют не только своевременного обновления систем, но и защитных решений с единой видимостью всей цепочки атаки, способных выявлять и блокировать инструменты злоумышленников уже после компрометации».

Обновление: новая версия руткита

19 сентября 2024 года компания Gen Digital опубликовала анализ обновлённой версии руткита — FudModule v3.0. В отличие от предыдущих модификаций, применявших вариации техники BYOVD (Bring Your Own Vulnerable Driver, «принеси свой уязвимый драйвер»), новая версия эксплуатирует уязвимость в драйвере AFD.sys (CVE-2024-38193) для получения доступа на чтение и запись в пространстве ядра.

Кроме того, FudModule v3.0 получил возможность отключать создание дампов при сбоях и внедрять шелл-код, фактически превратившись из самостоятельного инструмента в стейджер для загрузки следующей полезной нагрузки. «Процесс включает два последовательных внедрения шелл-кода в разные процессы: один — в services.exe, другой — в msiexec.exe», — рассказал исследователь Луиджино Камастра.

Материал был обновлён 23 октября 2024 года с добавлением информации о новой версии FudModule.

Источник: The Hacker News.