سوء استفاده هکرهای کره شمالی از آسیب پذیری کروم و استقرار روت کیت FudModule

هکرهای کره شمالی در حملات اخیر خود از یک آسیب پذیری روز صفر در مرورگر گوگل کروم (CVE-2024-7971) که به تازگی پچ شده است، برای استقرار روت کیت FudModule سوء استفاده کردند.

این آسیب پذیری پس از ایجاد سطح دسترسی SYSTEM توسط اکسپلویت کرنل ویندوز مورد سوء استفاده قرار گرفته است.

Citrine Sleet

مایکروسافت طی بررسی‌های خود با اطمینان بالایی این حملات را به Citrine Sleet  (که قبلاً با عنوان DEV-0139  دنبال می‌شد)، یک تهدید کننده کره شمالی نسبت داد که بخش ارز دیجیتال را برای منافع مالی مورد هدف قرار میدهد.

سایر فروشندگان امنیت سایبری، این گروه مهاجم کره شمالی را با نام‌های AppleJeus، Labyrinth Chollima و UNC4736 دنبال می‌کنند، در حالی که دولت ایالات متحده مجموعاً از گروه‌های هک تحت حمایت دولت کره شمالی با عنوان کبرای پنهان (Hidden Cobra)‌ یاد می‌کند.

Citrine Sleet، موسسات مالی را با تمرکز بر سازمان‌های ارز دیجیتال و افراد مرتبط هدف قرار می‌دهد و قبلاً با دفتر 121 اداره کل شناسایی کره شمالی مرتبط بوده است.

هکرهای کره شمالی همچنین به دلیل استفاده از وب‌ سایت‌های مخربی که به عنوان پلت‌فرم‌های قانونی تجارت ارز دیجیتال ارائه می‌شوند برای آلوده کردن قربانیان احتمالی توسط برنامه‌های شغلی جعلی یا کیف پول‌های ارزهای دیجیتال یا برنامه‌های تجاری، شناخته می‌گردند.

UNC4736 در مارس 2023، کلاینت دسکتاپ مبتنی بر الکترون (Electron) سازنده نرم افزار کنفرانس ویدئویی 3CX را تروجانیزه کرد و از آن در نفوذ به شرکت اتوماسیون معاملات سهام استفاده نمود.

گروه تحلیل تهدیدات گوگل (TAG) نیز در گزارش مارس 2022 خود، AppleJeus را با وب سایت Trading Technologies مرتبط دانست. ایالات متحده همچنین در خصوص هکرهای تحت حمایت کره شمالی که سال‌ها شرکت‌ها و افراد مرتبط با ارز دیجیتال را توسط بدافزار AppleJeus مورد هدف قرار داده‌اند، هشدار داد.

سوء استفاده از CVE-2024-7971  و استقرار روت کیت FudModule

توسعه دهندگان گوگل، بیست و یکم آگوست ۲۰۲۴،گوست ۲۰ یک به ‌روزرسانی امنیتی اضطراری به منظور اصلاح یک آسیب ‌پذیری روز صفر ( CVE-2024-7971) در مرورگر کروم منتشر کردند. این، نهمین باگ روز صفر گوگل کروم بود که در سال 2024، شناسایی و پچ شد.

این آسیب ‌پذیری روز صفر با شدت بالا به دلیل نقص  type confusion(سردرگمی نوع) در موتور جاوا اسکریپت V8 کروم ایجاد می‌شود.

آسیب ‌پذیری CVE-2024-7971، هکرها را قادر می‌سازد تا امکان اجرای کد از راه دور را در فرآیند رندر Chromium سندباکس اهداف که به یک وب‌ سایت تحت کنترل مهاجم در voyagorclub[.]space هدایت می‌شوند، به دست آورند.

هکرها پس از دور زدن سندباکس، از مرورگر وب هک شده برای دانلود یک اکسپلویت دور زدن سندباکس ویندوز استفاده کردند که نقص CVE-2024-38106 در کرنل ویندوز را مورد هدف قرار می‌دهد (این آسیب پذیری در Patch Tuesday این ماه برطرف شد) و آنها را قادر می‌سازد تا سطح دسترسی SYSTEM را به دست آورند.

هکرها در این حمله، روت کیت FudModule را دانلود و در حافظه بارگذاری کردند که برای دستکاری کرنل و دستکاری مستقیم آبجکت کرنل (DKOM) استفاده می‌شود و به این روت کیت اجازه می‌دهد تا مکانیزم‌های امنیتی کرنل را دور بزند.

از زمان کشف روت کیت FudModule در اکتبر 2022، این روت کیت توسط Diamond Sleet، یکی دیگر از گروه‌های هک کره شمالی مورد استفاده قرار گرفته است.

مایکروسافت در سیزدهم آگوست ۲۰۲۴، یک به ‌روزرسانی امنیتی برای رفع آسیب‌ پذیری روز صفر  (CVE-2024-38193) در درایور AFD.sys ویندوز که توسط آزمایشگاه تهدیدGen  شناسایی شده بود، منتشر کرد.

آزمایشگاه Gen  در اوایل ژوئن، Diamond Sleet را شناسایی کرد که از این آسیب ‌پذیری در حمله‌ای توسط روت‌کیت FudModule استفاده کرده بود و دسترسی admin  به کرنل را ایجاد می‌کرد.

ردموند افزود که یکی از سازمان‌هایی که نوسط اکسپلویت آسیب پذیری CVE-2024-7971 مورد هدف قرار گرفته است، پیش‌تر نیز توسط یک گروه تهدید دیگر کره شمالی که با‌ عنوان BlueNoroff (یا Sapphire Sleet) دنبال می‌شود، مورد هدف قرار گرفته است.

منابع