Kuzey Koreli aktörler, FudModule rootkit’ini dağıtmak için tasarladıkları bir kampanyada, Google Chrome ve diğer Chromium web tarayıcılarında yakın zamanda düzeltilen bir güvenlik açığını sıfır gün açığı olarak kullandılar.
Gelişme, son aylarda cephaneliğine çok sayıda Windows sıfır gün açığı ekleme alışkanlığı edinen ulus-devlet düşmanının ısrarlı çabalarının göstergesi.
19 Ağustos 2024’te etkinliği tespit eden Microsoft, bunu Citrine Sleet (eski adıyla DEV-0139 ve DEV-1222) olarak takip ettiği ve AppleJeus, Labyrinth Chollima, Nickel Academy ve UNC4736 olarak da bilinen bir tehdit aktörüne bağladı. Lazarus Grubu’nun (diğer adıyla Diamond Sleet ve Hidden Cobra) bir alt kümesi olduğu değerlendiriliyor.
Kaspersky’nin daha önce AppleJeus zararlı yazılımının kullanımını BlueNoroff (diğer adıyla APT38, Nickel Gladstone ve Stardust Chollima) adlı bir başka Lazarus alt grubuna da atfettiğini belirtmekte fayda var; bu, söz konusu tehdit aktörleri arasındaki altyapı ve araç seti paylaşımının bir göstergesi.
Microsoft Tehdit İstihbarat ekibi, “Citrine Sleet, Kuzey Kore merkezlidir ve öncelikli olarak finansal kuruluşları, özellikle de kripto para birimi yöneten kuruluşları ve bireyleri finansal kazanç elde etmek için hedef almaktadır” dedi.
“Citrine Sleet, sosyal mühendislik taktiklerinin bir parçası olarak kripto para endüstrisi ve onunla ilişkili kişiler hakkında kapsamlı bir keşif gerçekleştirdi.”
Saldırı zincirleri genellikle kullanıcıları dijital varlıkların çalınmasını kolaylaştıran silahlı kripto para cüzdanları veya ticaret uygulamaları yüklemeye kandırmayı amaçlayan, meşru kripto para ticaret platformları gibi görünen sahte web siteleri kurmayı içeriyor.
Citrine Sleet tarafından gözlemlenen sıfır günlük istismar saldırısı, tehdit aktörlerinin korumalı Chromium işleyici sürecinde uzaktan kod yürütme (RCE) elde etmesine izin verebilecek V8 JavaScript ve WebAssembly motorunda yüksek önem derecesine sahip bir tür karışıklık güvenlik açığı olan CVE-2024-7971’in istismarını içeriyordu. Google tarafından geçen hafta yayınlanan güncellemelerin bir parçası olarak yamalandı.
The Hacker News’in daha önce belirttiği gibi CVE-2024-7971, Google’ın bu yıl CVE-2024-4947 ve CVE-2024-5274’ten sonra çözdüğü V8’deki üçüncü aktif olarak istismar edilen tür karışıklığı hatasıdır.
Bu saldırıların ne kadar yaygın olduğu veya kimleri hedef aldığı henüz net değil ancak kurbanların voyagorclub adlı kötü amaçlı bir web sitesine yönlendirildiği söyleniyor.[.]uzay muhtemelen sosyal mühendislik teknikleriyle ele geçirilmiş ve böylece CVE-2024-7971 için bir istismar tetiklenmiş.
RCE açığı, kendi adına, Windows sandbox kaçış açığını (CVE-2024-38106) ve Windows tabanlı sistemlere yönetici-çekirdek erişimi kurmak, ilkel işlevlerin okunmasına/yazılmasına izin vermek ve performans göstermek için kullanılan FudModule kök setini içeren kabuk kodunun alınmasının önünü açar. [direct kernel object manipulation].”
Windows çekirdek ayrıcalık yükseltme hatası olan CVE-2024-38106, Microsoft’un Ağustos 2024 Salı Yaması güncellemesinin bir parçası olarak düzelttiği altı etkin şekilde istismar edilen güvenlik açığından biridir. Bununla birlikte, Citrine Sleet ile bağlantılı açığın istismarının düzeltmenin yayınlanmasından sonra gerçekleştiği bulunmuştur.
Microsoft, “Bu, aynı güvenlik açığının ayrı tehdit aktörleri tarafından bağımsız olarak keşfedildiği veya güvenlik açığı bilgisinin bir güvenlik araştırmacısı tarafından birden fazla aktörle paylaşıldığı bir ‘hata çarpışması’na işaret ediyor olabilir” dedi.
CVE-2024-7971, Kuzey Koreli tehdit aktörlerinin bu yıl FudModule kök setini düşürmek için kullandıkları üçüncü güvenlik açığıdır. Bunlardan ilki, CVE-2024-21338, diğeri ise CVE-2024-38193’tür. Bu güvenlik açıkları, yerleşik Windows sürücülerindeki ayrıcalık yükseltme kusurlarıdır ve Microsoft tarafından Şubat ve Ağustos aylarında düzeltilmiştir.
Şirket, “CVE-2024-7971 istismar zinciri, bir hedefi tehlikeye atmak için birden fazla bileşene dayanıyor ve bu bileşenlerden herhangi biri, CVE-2024-38106 da dahil olmak üzere engellenirse bu saldırı zinciri başarısız oluyor” dedi.
“Sıfır gün istismarları yalnızca sistemlerin güncel tutulmasını değil, aynı zamanda siber saldırı zinciri boyunca birleşik görünürlük sağlayan ve istismar sonrasında saldırganların araçlarını ve kötü niyetli faaliyetlerini tespit edip engelleyen güvenlik çözümlerini de gerektirir.”