Kuzey Koreli Hackerlar Chromium’a FudModule Rootkit ile Saldırıyor

Kuzey Koreli bir tehdit aktörü, yakın zamanda gerçekleştirdiği bir saldırıda, Google’ın Chromium tarayıcısındaki sıfır günlük bir güvenlik açığından yararlanarak FudModule kök kitini dağıttı ve finansal kazanç elde etmek amacıyla kripto para şirketlerini hedef aldı.

Microsoft, Chromium’daki sıfır günlük bir güvenlik açığını kullanan Kuzey Koreli bir tehdit aktörünü içeren karmaşık bir siber operasyonu ortaya çıkardı, CVE-2024-7971 olarak izlendi. Citrine Sleet olarak bilinen kötü şöhretli gruba atfedilen saldırı, özellikle kripto para sektörünü hedef aldı.

Tür Karmaşası Güvenlik Açığı Hedeflendi

Finansal kuruluşları hedef alma geçmişi olan bir tehdit aktörü olan Citrine Sleet, Chromium’un 128.0.6613.84 öncesi sürümlerini etkileyen V8 JavaScript ve WebAssembly motorundaki bir tür karışıklığı açığını kullanarak saldırıyı gerçekleştirdi. Google, 21 Ağustos’ta bu güvenlik açığı için bir yama yayınladı, ancak önemli bir hasar meydana gelmeden önce değil.

Saldırı sosyal mühendislik taktikleriyle başladı; Citrin Sleet kurbanları kötü amaçlı bir alan adı olan voyagorclub’a çekti[.]CVE-2024-7971 için sıfır günlük RCE açığının dağıtıldığı alan. Bu açık, saldırganların korumalı Chromium görüntüleyici işlemi içinde kod yürütmesine izin vererek daha yıkıcı bir takip için sahneyi hazırladı.

Hedef sisteme girdikten sonra Citrine Sleet, çekirdek güvenlik mekanizmalarını Doğrudan Çekirdek Nesne Manipülasyonu (DKOM) aracılığıyla bozmak için tasarlanmış ilgi çekici bir kötü amaçlı yazılım olan FudModule kök setini dağıttı. Kök setinin amacı, saldırganların hassas verileri çalmasına veya ek kötü amaçlı yazılımlar dağıtmasına olanak tanıyan, tehlikeye atılmış sistemlere kalıcı arka kapı erişimi sağlamaktır.

FudModule rootkit’i daha önce Diamond Sleet adlı bir başka Kuzey Kore tehdit grubuyla ilişkilendirilmişti; bu da söz konusu devlet destekli aktörler arasında olası bir işbirliği veya kaynak paylaşımı olduğunu gösteriyor.

Saldırı burada bitmedi. Citrine Sleet, Windows çekirdeğindeki CVE-2024-38106 adlı başka bir güvenlik açığını istismar ederek, rootkit’in tarayıcının sandbox’ından kaçmasına ve sistem üzerinde daha derin bir kontrol elde etmesine olanak sağladı. Microsoft, saldırı keşfedilmeden sadece birkaç gün önce bu çekirdek güvenlik açığını düzeltmişti, ancak zamanlama, tehdit aktörlerinin bunu istismar etmeye iyi hazırlanmış olduğunu gösteriyor.

FudModule Rootkit Genel Bakış

FudModule rootkit, esas olarak diğer kötü şöhretli Kuzey Koreli hackerlar olan Lazarus Group tarafından kullanılan sofistike bir kötü amaçlı yazılım aracıdır. Rootkit, cephaneliklerindeki en gelişmiş araçlardan birini temsil eder ve gizliliğini ve işlevselliğini iyileştirmeyi amaçlayan sürekli bir geliştirme görmüştür.

Temel Özellikler ve Gelişim

• Çekirdek Düzeyinde Erişim: Rootkit, sıfır günlük bir güvenlik açığını istismar eder (CVE-2024-21338) içinde appid.sys AppLocker sürücüsü. Bu, Lazarus Grubunun şu amaçlara ulaşmasını sağlar: çekirdek düzeyinde erişimdoğrudan çekirdek nesne manipülasyonu yapmalarını sağlar.
• İleri Teknikler: FudModule rootkit’inin en son sürümü, aşağıdakiler de dahil olmak üzere çeşitli gelişmiş teknikler kullanır:
  • Tablo Giriş Manipülasyonunu Ele Alın: Microsoft Defender, CrowdStrike Falcon ve HitmanPro gibi güvenlik araçlarını hedef alarak Protected Process Light (PPL) tarafından korunan işlemleri askıya almak için kullanılır.
  • Doğrudan Çekirdek Nesne İşleme (DKOM): Güvenlik ürünlerini devre dışı bırakmak, kötü amaçlı etkinlikleri gizlemek ve kalıcılığı sağlamak.
  • Kayıt Defteri ve Nesne Geri Arama Kaldırma: Kayıt defterini ve nesne geri aramalarını kaldırarak güvenlik izlemeyi devre dışı bırakır ve böylece güvenlik çözümleri tarafından algılanmaktan kaçınır.
• Gizlilik Geliştirmeleri:
  • Rootkit, şüphe uyandırabilecek geleneksel yöntemleri kullanmaktan kaçınır, örneğin: NtWriteVirtualMemory Hem çekirdek belleğini okumak hem de yazmak için syscall. Bu, şüpheli syscall’ların ve tespit fırsatlarının sayısını azaltır.
• Tarihsel Bağlam ve Önceki Sürümler:
  • Başlangıçta, rootkit, sürücülerdeki bilinen güvenlik açıklarını istismar etmek için Kendi Güvenlik Açığınız Olan Sürücüyü Getirin (BYOVD) tekniğini kullandı. dbutil_2_3.sys ve daha sonra ene.sysSıfırıncı gün açığını istismar etmeye yönelmeleri, taktiklerinde önemli bir evrimi işaret ediyor.
  • Rootkit’in önceki sürümleri, enfekte olmuş ana bilgisayarlardaki tüm güvenlik çözümlerinin güvenlik izlemesini devre dışı bırakabiliyordu. En son güncellemeler, geliştirilmiş gizlilik ve genişletilmiş yeteneklere odaklandı.
• Platformlar Arası Odak:
  • Grubun ayrıca Apple macOS sistemlerine kötü amaçlı yazılım yüklemek için sahte takvim toplantısı davet bağlantıları kullandığı da gözlemlendi; bu da platformlar arası bir odaklanma olduğunu gösteriyor.

Öneriler ve Azaltma Önlemleri

AppleJeus, Labyrinth Chollima, UNC4736 ve Hidden Cobra olarak da bilinen Citrine Sleet, finansal kuruluşları hedef alma geçmişi olan köklü bir Kuzey Kore tehdit aktörü. Grubun birincil hedefi kripto para varlıklarını çalmaktır ve hedeflerine ulaşmak için genellikle karmaşık sosyal mühendislik teknikleri kullanırlar.

Kuzey Kore rejimi, yaptırım uygulanan nükleer programı da dahil olmak üzere faaliyetlerini finanse etmek için uzun zamandır siber suçlara güveniyor. Son operasyonun detayları, yalnızca devlet destekli bilgisayar korsanlığı gruplarının oluşturduğu artan tehdidi yansıtıyor.

Microsoft, CVE-2024-7971’in oluşturduğu riski azaltmak için tüm sistemlerde, özellikle de Chromium tabanlı tarayıcıların en son sürümlerinde derhal güncelleme yapılmasını öneriyor.

Yama uygulamasının yanı sıra, kuruluşlar siber saldırı zincirinde birleşik görünürlük sunan ve uzlaşma sonrası faaliyetlerin tespit edilmesini ve engellenmesini sağlayan güvenlik çözümleri dağıtmalıdır. Microsoft ayrıca işletim sistemlerinin ve uygulamaların sürekli olarak güncel olmasını sağlayarak genel güvenlik duruşunun güçlendirilmesini tavsiye ediyor.

İlgili