Chromium, Google Chrome ve Microsoft Edge gibi pek çok popüler web tarayıcısının temelini oluşturuyor ve bu, bilgisayar korsanlarının en çok ilgisini çeken en kazançlı şey.
Microsoft’taki siber güvenlik analistleri, Kuzey Koreli bilgisayar korsanlarının Chromium RCE sıfır-gün açığını aktif olarak araştırdığını keşfetti.
Microsoft, 19 Ağustos 2024’te, Chromium Web tarayıcısına entegre edilmiş V8 JavaScript motorunu hedef alan ve korumalı Chromium görüntüleyici sürecinde RCE gerçekleştirmek için CVE-2024-7971 olarak tanımlanan sıfır günlük bir açığı kullanan Kuzey Koreli bir tehdit aktörünü açıkladı.
Araştırmacılar, devam eden çalışmalar sonucunda bu tehdidi, “Sitrin Karla Karışık Yağmuru” olarak adlandırılan Kuzey Kore tehdit aktörü grubuna bağladı.
Bu kampanya kapsamında kullanılan FudModule rootkit’inin de Kuzey Koreli tehdit grubu Diamond Sleet’e ait olduğu tespit edildi.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Ancak Microsoft, aracın ve altyapının iki grup arasında örtüştüğünü bildirerek, FudModule kötü amaçlı yazılımının Diamond Sleet ile birlikte kullanılabileceğini öne sürdü.
Vahşi Doğada Krom RCE Sıfır Günü
CVE-2024-7971, 128.0.6613.84’ten önceki tüm Chromium sürümlerini etkileyen V8 motoruyla ilgili bir karışıklık güvenlik açığıdır.
Google, 21 Ağustos 2024 itibarıyla CVE-2024-7971 yamasını yayınladı, bu nedenle tüm kullanıcıların Chromium’un en son sürümünü yüklemeleri önerilir.
CVE-2024-7971, CVE-2024-4947 ve CVE-2024-5274’ten sonra bu yıl V8’de yamalanan üçüncü istismar edilen V8 tipi karışıklık güvenlik açığıdır.
Citrine Sleet, Microsoft tarafından da takip edildiği üzere, Kuzey Kore hükümeti için finansman sağlama amacıyla kripto para birimleriyle işlem yapan kuruluşlar ve bireyler de dahil olmak üzere finansal ağları bozmaya odaklanan bir Kuzey Kore tehdit aktörü.
Citrine Sleet, kripto para ticareti alanında kapsamlı keşifler gerçekleştiriyor ve sahte kripto para borsa platformları tasarlayarak kimlik avı saldırıları başlatıyor.
Japonya’daki kripto para birimi işletmesini hedef almanın başlıca nedeni, kripto teröristler için kritik bilgileri ele geçirmek ve hedeflerle ilişkili tüm kripto varlıkları ele geçirmek için kullanılan AppleJeus Truva Atı’dır.
Microsoft, Citrine Sleet’in, kötü amaçlı kod yürütmek ve FudModule rootk’u yüklemek amacıyla Windows çekirdeğinden kaçmak için kullanılan CVE-2024-38106 numaralı sandbox kaçış açığı gibi sıfır günlük saldırılar gerçekleştirdiğini söyledi.BT.
Bu rootkit, çekirdek güvenlik mekanizmalarını bozmak ve çekirdek okuma ve yazma ilkel aracılığıyla çekirdek kurcalama gerçekleştirmek için doğrudan çekirdek nesne manipülasyonu (DKOM) tekniklerini kullanır.
Çeşitli güvenlik şirketleri Citrine Sleet’i AppleJeus, Labyrinth Chollima, UNC4736 ve Hidden Cobra gibi farklı isimler altında takip ediyor ve Kuzey Kore Keşif Genel Bürosu’nun 121. Bürosu’na atfediliyor.
FudModule, çekirdek erişim mekanizmalarını gizlice ele geçirmeye çalışan, rootkit tipi karmaşık bir kötü amaçlı yazılımdır.
Ekim 2021’den itibaren Diamond Sleet, bilinen güvenlik açığı sürücülerinden yararlanılarak yöneticiye çekirdek erişiminin mümkün kılındığı FudModule’u kullanmaya başladı.
Appid.sys’yi hedef alan siber güvenlik tehdidinden yararlanan FudModule’ün en son yapılandırması. Bu varyantı dağıtan saldırı zinciri Kaolin RAT’ı içerir.
Microsoft, 13 Ağustos 2024’te Diamond Sleet’in FudModule rootkit’i ile istismar ettiği AFD.sys sıfır günlük güvenlik açığını gidermek için bir güvenlik güncelleştirmesi yayınladı.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Sistemleri ve tarayıcıları güncel tutun (Chrome 128.0.6613.84+, Edge 128.0.2739.42+).
- SmartScreen özelliği olan tarayıcıları kullanın.
- Kurcalama, ağ koruması ve EDR engelleme modunu etkinleştirin.
- Defender Endpoint yanıtlarını otomatikleştirin.
- Defender’da bulutu, gerçek zamanlıyı ve dosya taramasını etkinleştirin.
IoC’ler
- gezgin kulübü[.]uzay
- weinsteinkurbağası[.]com
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!