Kuzey Koreli bilgisayar korsanları, Windows Kernel açığını kullanarak SYSTEM ayrıcalıkları elde ettikten sonra, FudModule kök setini dağıtmak için yakın zamanda yamalanmış bir Google Chrome sıfır günlük (CVE-2024-7971) açığını kullandı.
Microsoft Cuma günü yaptığı açıklamada, “CVE-2024-7971’in gözlemlenen istismarının, kripto para sektörünü finansal kazanç elde etmek için hedef alan bir Kuzey Kore tehdit aktörüne atfedilebileceğini yüksek bir güvenle değerlendiriyoruz” dedi ve saldırıları Citrine Sleet’e (daha önce DEV-0139 olarak takip ediliyordu) bağladı.
Diğer siber güvenlik sağlayıcıları bu Kuzey Kore tehdit grubunu AppleJeus, Labyrinth Chollima ve UNC4736 olarak adlandırırken, ABD hükümeti Kuzey Kore hükümeti tarafından desteklenen kötü niyetli aktörlerden toplu olarak Hidden Cobra olarak bahsediyor.
Citrine Sleet, kripto para birimi kuruluşları ve ilişkili kişilere odaklanarak finans kuruluşlarını hedef alıyor ve daha önce Kuzey Kore Keşif Genel Bürosu’nun 121. Bürosu ile bağlantılı olduğu ortaya çıktı.
Kuzey Koreli bilgisayar korsanlarının, potansiyel kurbanları sahte iş başvuruları veya silahlı kripto para cüzdanları veya ticaret uygulamalarıyla enfekte etmek için meşru kripto para ticaret platformları gibi görünen kötü amaçlı web sitelerini kullandıkları da biliniyor.
UNC4736, Mart 2023’te, borsa alım satım otomasyon şirketi Trading Technologies’in sitesine girerek truva atı eklenmiş X_TRADER yazılım sürümlerini yayınlamak amacıyla gerçekleştirdikleri bir tedarik zinciri saldırısının ardından, video konferans yazılımı üreticisi 3CX’in Electron tabanlı masaüstü istemcisine truva atı ekledi.
Google’ın Tehdit Analizi Grubu (TAG) da Mart 2022 tarihli bir raporda AppleJeus’u Trading Technologies web sitesinin tehlikeye atılmasıyla ilişkilendirdi. ABD hükümeti ayrıca yıllardır Kuzey Kore destekli devlet bilgisayar korsanlarının AppleJeus kötü amaçlı yazılımıyla kripto para birimiyle ilgili şirketleri ve bireyleri hedef aldığı konusunda uyardı.
Chrome sıfır günlük saldırısında Windows Kernel indirildi
Google, geçen hafta CVE-2024-7971 sıfır gününü, Chrome’un V8 JavaScript motorunda bir tür karışıklığı zayıflığı olarak tanımlayarak yamaladı. Bu güvenlik açığı, tehdit aktörlerinin, saldırgan tarafından kontrol edilen bir web sitesine yönlendirilen hedeflerin korumalı Chromium işleyici sürecinde uzaktan kod yürütme elde etmesini sağladı.[.]uzay.
Sandbox’tan çıktıktan sonra, bu ayki Salı Yaması sırasında düzeltilen Windows Kernel’indeki CVE-2024-38106 açığını hedef alan bir Windows sandbox kaçış açığını indirmek için tehlikeye atılmış web tarayıcısını kullandılar ve bu sayede SİSTEM ayrıcalıkları elde ettiler.
Tehdit aktörleri ayrıca FudModule kök setini belleğe indirip yüklediler; bu, çekirdek kurcalama ve doğrudan çekirdek nesne manipülasyonu (DKOM) için kullanıldı ve çekirdek güvenlik mekanizmalarını aşmalarına olanak tanıdı.
Ekim 2022’de keşfedilmesinden bu yana bu rootkit, Citrine Sleet’in diğer kötü amaçlı araçları ve saldırı altyapısını paylaştığı bir diğer Kuzey Koreli hacker grubu olan Diamond Sleet tarafından da kullanılıyor.
Microsoft, Cuma günü yaptığı açıklamada, “Microsoft, 13 Ağustos’ta Gen Threat Labs tarafından tespit edilen Windows’daki AFD.sys sürücüsündeki sıfır günlük bir güvenlik açığını (CVE-2024-38193) gidermek için bir güvenlik güncelleştirmesi yayınladı” dedi.
“Haziran ayının başlarında, Gen Threat Labs, Diamond Sleet’in FudModule kök setini kullanarak gerçekleştirdiği bir saldırıda bu güvenlik açığını istismar ettiğini tespit etti. Bu, daha önce görülen yönetici-çekirdek erişiminden daha ileri giderek, tam standart kullanıcı-çekirdek erişimi sağlıyor.”
Redmond, CVE-2024-7971 Chrome sıfır-gün açığını istismar eden saldırılarda hedef alınan kuruluşlardan birinin daha önce BlueNoroff (veya Sapphire Sleet) olarak takip edilen başka bir Kuzey Kore tehdit grubu tarafından da hedef alındığını sözlerine ekledi.