Kuzey Koreli Hackerlar Chromium Zero-Day Saldırılarıyla Bağlantılı

Siber Suç, Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç

FudModule Rootkit’i İçeren Son Kampanyada Kripto Para Kullanıcıları Hedef Alındı

Akşaya Asokan (asokan_akshaya), Mathew J. Schwartz (euroinfosec) •
2 Eylül 2024

Kuzey Kore bağlantılı bir bilgisayar korsanı grubu, açık kaynaklı Google Chromium web tarayıcısındaki sıfır günlük bir güvenlik açığından yararlanarak kripto para çalmaya çalıştı.

Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri

Microsoft, Google’ın C++ ile yazılmış, açık kaynaklı, yüksek performanslı JavaScript ve WebAssembly motoru olan V8’deki artık düzeltilmiş bir açığı istismar eden finansal amaçlı kampanyayı ayrıntılarıyla anlatan yeni raporunda böyle uyarıyor.

Şu anda CVE-2024-7971 olarak takip edilen bu kusur, hedeflenen sistemde uzaktan kod çalıştırmak için kullanılabiliyor ve 21 Ağustos’ta kullanıma sunulmaya başlanan 128.0.6613.84’ten önceki Chromium sürümlerinde mevcut.

Microsoft’un Güvenlik Yanıt Merkezi, Google’ı 19 Ağustos’ta bu güvenlik açığı hakkında bilgilendirdi. Google, güvenlik açığının ciddiyetini “yüksek” olarak derecelendirdi çünkü bu güvenlik açığı uzaktan keyfi kod çalıştırmak için kullanılabiliyor.

Microsoft, güvenlik açığını hedef alan kampanyayı Citrine Sleet kod adını verdiği ve AppleJeus, Labyrinth Chollima, UNC4736 ve Hidden Cobra olarak da bilinen bir tehdit aktörüne atfediyor. Finansal olarak motive olmuş grup, ordunun Keşif Genel Bürosu’nun bir parçası olan Kuzey Kore’nin siber operasyonlar ajansı Bureau 121 ile bağlantılı.

Microsoft, saldırganların bu kampanyada hedefleri kötü amaçlı bir kripto para cüzdanı veya ticaret uygulaması indirmeye ikna etmek için sahte web siteleri ve iş başvuruları kullandığını belirtti.

Tuzağa düşen herkes, hedeflenen cihazda bellek içinde çalışan FudModule adlı bir kök seti yüklemek için güvenlik açığını uzaktan istismar etmek üzere tasarlanmış saldırgan tarafından kontrol edilen bir etki alanına yönlendirilirdi. Kök seti ayrıca, bir Windows sanal alanından kaçmasına izin vermek için CVE-2024-38106 olarak izlenen bir Windows çekirdek ayrıcalık yükseltme güvenlik açığını istismar etmeye çalıştı.

Microsoft, 13 Ağustos’ta bu açığı kapatmak için bir yazılım güncellemesi yayınlayarak, “Sandbox kaçış istismarı başarılı olduktan sonra, rootkit doğrudan çekirdek nesne manipülasyon tekniklerini kullanarak çekirdek güvenlik mekanizmalarını bozar, yalnızca kullanıcı modundan çalıştırılır ve çekirdek okuma/yazma ilkeli aracılığıyla çekirdek kurcalaması gerçekleştirir” dedi.

Araştırmacılar, kripto para birimini hedefleyen kampanyanın kaç kişi veya kuruluşu hedef aldığını veya kurbanı olduğunu ayrıntılı olarak açıklamadı.

FudModule, en az Ekim 2021’den bu yana çok sayıda Kuzey Koreli bilgisayar korsanlığı kampanyası grubuyla bağlantısı bulunan gelişmiş bir kötü amaçlı yazılımdır.

Microsoft, geçen ay Kuzey Koreli saldırganların Windows Yardımcı İşlev Sürücüsü’ndeki farklı bir sıfır günlük güvenlik açığından yararlandığı konusunda uyardı – Afd.sys – WinSock için, CVE-2024-38193 olarak izlendi, FudModule’u hedeflenen sistemlere gizlice sokmak için. Grubun saldırıları genellikle bilinen güvenlik açıklarını istismar edip kötü amaçlı yazılım yükleyebilmek için “kendi savunmasız sürücünüzü getirin” – diğer adıyla BYOVD – taktiklerini içerir (bkz: Kuzey Kore, Fudmodule’u Dağıtmak İçin Windows Zero-Day’i Kullandı).

Gen Digital’in Avast antivirüs yazılım biriminin nisan ayında bildirdiğine göre, grup 2023 yazında “uydurma iş teklifleri yoluyla Asya bölgesindeki belirli kişileri hedef alarak” böyle bir kampanya yürüttü.

Windows’daki farklı bir sıfır günlük açığı hedef alan bu çok aşamalı saldırıların bir amacının, daha önce hiç görülmemiş Kaolin kod adlı bir uzaktan erişim Truva atını kurbanların sistemlerine bırakmak ve ardından FudModule’u yüklemek olduğu belirtildi. Avast, saldırıyı Kuzey Kore’nin Lazarus gelişmiş-kalıcı tehdit grubuna bağladı.

Microsoft, söz konusu kampanyaya dahil olan grubu Diamond Sleet olarak takip ediyor ve bu tehdit faaliyeti kümesinin Citrine Sleet’ten farklılıklar göstermesine rağmen, “daha önce Diamond Sleet ve Citrine Sleet arasında paylaşılan altyapı ve araçlar tespit edildi ve analizlerimiz bunun bu tehdit aktörleri arasında FudModule kötü amaçlı yazılımının ortak kullanımı olabileceğini gösteriyor.”

Microsoft, son kampanyanın işaretlerini tespit ettikten sonra “hedeflenen veya güvenliği ihlal edilen müşterilere doğrudan bildirimde bulunarak, ortamlarını güvence altına almalarına yardımcı olacak önemli bilgiler sağladığını” söyledi.

Daha Fazla Krom Kusuru Ateş Altında

Google, Chromium’un son büyük sürümü olan 128. sürümde toplam 38 ayrı güvenlik açığını düzeltti.

Bu güvenlik açıklarından bir diğeri de, yine V8 motorunda bulunan ve “uzaktaki bir saldırganın, hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasını potansiyel olarak istismar etmesine olanak tanıyan” yüksek riskli bir karışıklık açığıydı, diyor ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı. CVE-2024-7965 olarak izlenen Google, 20 Ağustos’ta bu açığın halihazırda vahşi saldırılar yoluyla istismar edildiği konusunda uyardı.

CISA Çarşamba günü bu açığı bilinen istismar edilen güvenlik açıkları kataloğuna ekledi ve tüm sivil federal ajansların açığı düzeltmesi için 18 Eylül son tarihi belirledi. “Bu güvenlik açığı, Google Chrome, Microsoft Edge ve Opera dahil olmak üzere Chromium kullanan birden fazla web tarayıcısını etkileyebilir,” dedi.

Söz konusu güvenlik açığı, 30 Temmuz’da “TheDog” adlı bir güvenlik araştırmacısı tarafından keşfedildi ve Google’a bildirildi.