Lazarus Grubu olarak bilinen Kuzey Koreli tehdit aktörünün, virüs bulaşmış cihazların kontrolünü ele geçirmek için Google Chrome’daki artık yamalanmış bir güvenlik açığından sıfır gün yararlanmasıyla ilişkilendirildi.
Siber güvenlik sağlayıcısı Kaspersky, Mayıs 2024’te Manuscrypt arka kapısına sahip isimsiz bir Rus vatandaşının kişisel bilgisayarını hedef alan yeni bir saldırı zinciri keşfettiğini söyledi.
Bu, sahte bir oyun web sitesini (“detankzone”) ziyaret ettiğinizde sıfır gün istismarının tetiklenmesini gerektirir.[.]com”) kripto para sektöründeki bireylere yönelikti. Kampanyanın Şubat 2024’te başladığı tahmin ediliyor.
Kaspersky araştırmacıları, “Görünüşte bu web sitesi, merkezi olmayan finans (DeFi) NFT tabanlı (takas edilemez token) çok oyunculu çevrimiçi savaş arenası (MOBA) tank oyunu için profesyonelce tasarlanmış bir ürün sayfasına benziyordu ve kullanıcıları deneme sürümünü indirmeye davet ediyordu.” Boris Larin ve Vasily Berdnikov söyledi.
“Fakat bu sadece bir kılık değiştirmeydi. Bu web sitesinde, kullanıcının Google Chrome tarayıcısında çalışan, sıfır gün açığını başlatan ve saldırganlara kurbanın bilgisayarı üzerinde tam kontrol sağlayan gizli bir komut dosyası vardı.”
Söz konusu güvenlik açığı, Google’ın Mayıs 2024 ortasında yamaladığı V8 JavaScript ve WebAssembly motorundaki bir tür karışıklık hatası olan CVE-2024-4947’dir.
Kötü amaçlı bir tank oyununun (DeTankWar, DeFiTankWar, DeTankZone veya TankWarsZone) kötü amaçlı yazılım yaymak için bir kanal olarak kullanılması, Microsoft’un Moonstone Sleet adlı başka bir Kuzey Kore tehdit faaliyet kümesine atfettiği bir taktiktir.
Bu saldırılar, potansiyel hedeflere e-posta veya mesajlaşma platformları aracılığıyla yaklaşılarak, onları bir blockchain şirketi veya yatırım fırsatları arayan bir oyun geliştiricisi gibi görünerek oyunu yüklemeleri için kandırarak gerçekleştiriliyor.
Kaspersky’nin en son bulguları, saldırı bulmacasına bir parça daha ekleyerek, sıfırıncı gün tarayıcı istismarının kampanyada oynadığı rolü vurguluyor.
Açıklardan yararlanma özellikle iki güvenlik açığına yönelik kod içeriyor: Birincisi, saldırganlara Chrome işleminin tüm adres alanına JavaScript’ten (CVE-2024-4947) okuma ve yazma erişimi vermek için kullanılır ve ikincisi, güvenlik açığını aşmak için kötüye kullanılır. V8 sanal alanı.
” [second] Araştırmacılar, “güvenlik açığı, sanal makinenin sabit sayıda kayda ve bunları depolamak için özel bir diziye sahip olması, ancak kayıt indekslerinin kodunun talimat gövdelerinden çözülmesi ve kontrol edilmemesidir” diye açıkladı araştırmacılar. “Bu, saldırganların belleğin dışındaki belleğe erişmesine izin veriyor kayıt dizisinin sınırları.”
V8 sanal alan bypass’ı, 20 Mart 2024’te gönderilen bir hata raporunun ardından Google tarafından Mart 2024’te yamalandı. Bununla birlikte, saldırganların bunu daha önce keşfedip sıfır gün olarak silah haline getirip getirmediği veya şu anda bilinmiyor. N günlük bir güvenlik açığı olarak istismar edilir.
Başarılı bir istismarın ardından tehdit aktörü, sistem bilgilerinin toplanmasından sorumlu bir kabuk kodu biçimini alan bir doğrulayıcı çalıştırır ve bu daha sonra makinenin daha fazla istismar sonrası eylem gerçekleştirecek kadar değerli olup olmadığını belirlemek için kullanılır. Bu aşamadan sonra teslim edilen kesin yük şu anda bilinmiyor.
Rus şirket, tehdit aktörünün kötü amaçlı web sitelerini tanıtmalarına yardımcı olmak için kripto para birimi alanındaki etkili isimlerle iletişim kurma biçimine dikkat çekerek, “Lazarus APT’nin sosyal mühendislik kampanyalarına ne kadar çaba harcadığı bizi etkilemekten asla vazgeçmiyor” dedi.
“Birkaç ay boyunca saldırganlar sosyal medyadaki varlıklarını geliştiriyor, X’te (eski adıyla Twitter) birden fazla hesaptan düzenli olarak paylaşımlar yapıyor ve oyunlarını üretken yapay zeka ve grafik tasarımcıları tarafından üretilen içerikle tanıtıyorlardı.”
Saldırganın faaliyetleri X ve LinkedIn’de gözlemlendi; ayrıca özel olarak hazırlanmış web siteleri ve ilgili hedeflere gönderilen e-posta mesajları da gözlendi.
Web sitesi aynı zamanda ziyaretçileri, başlatıldığında oyuncu kaydı gerektiren, ancak aynı zamanda daha önce olduğu gibi YouieLoad kod adlı özel bir yükleyiciyi başlatmak için kod içeren, tamamen işlevsel, indirilebilir bir oyun olan bir ZIP arşivini (“detankzone.zip”) indirmeye teşvik etmek için tasarlanmıştır. Microsoft tarafından ayrıntılı olarak açıklanmıştır.
Dahası, Lazarus Grubunun oyunun kaynak kodunu, Mart 2024’te kendi hacklenmesine maruz kalan ve hırsızlığa yol açan DeFiTankLand (DFTL) adlı yasal bir blockchain oyna-kazan (P2E) oyunundan çaldığına inanılıyor. 20.000 $ değerinde DFTL2 parası.
Proje geliştiricileri ihlal için içeriden birini suçlasa da Kaspersky, bunun arkasında Lazarus Grubunun olduğundan ve DFTL2 paralarının yanı sıra oyunun kaynak kodunu da çalıp bunu hedeflerine ulaşmak için yeniden kullandıklarından şüpheleniyor.
Araştırmacılar, “Lazarus, en aktif ve sofistike APT aktörlerinden biri ve mali kazanç, onların en önemli motivasyonlarından biri olmaya devam ediyor” dedi.
“Saldırganların taktikleri gelişiyor ve sürekli olarak yeni, karmaşık sosyal mühendislik planları buluyorlar. Lazarus, üretken yapay zekayı başarıyla kullanmaya başladı ve biz onların bunu kullanarak daha da ayrıntılı saldırılar geliştireceklerini tahmin ediyoruz.”