قراصنة من كوريا الشمالية ينشرون برنامج FudModule Rootkit عبر برنامج Chrome Zero-Day Exploit
تم استغلال ثغرة أمنية تم تصحيحها مؤخرًا في Google Chrome ومتصفحات الويب Chromium الأخرى باعتبارها يوم الصفر من قبل الجهات الفاعلة الكورية الشمالية في حملة مصممة لتقديم برنامج FudModule rootkit.
ويشير هذا التطور إلى الجهود المتواصلة التي بذلتها الدولة القومية الخصم، والتي اعتادت على دمج مجموعات كبيرة من ثغرات Windows Zero-day في ترسانتها في الأشهر الأخيرة.
مايكروسوفت، التي اكتشفت النشاط في 19 أغسطس 2024، أرجعته إلى ممثل تهديد تتعقبه باسم Citrine Sleet (المعروف سابقًا باسم DEV-0139 وDEV-1222)، والذي يُعرف أيضًا باسم AppleJeus وLabyrinth Chollima وNickel Academy وUNC4736. تم تقييمها على أنها مجموعة فرعية ضمن مجموعة Lazarus (المعروفة أيضًا باسم Diamond Sleet وHidden Cobra).
ومن الجدير بالذكر أن استخدام البرمجيات الخبيثة AppleJeus قد تم استخدامه سابقًا أيضًا المنسوب بواسطة Kaspersky إلى مجموعة Lazarus فرعية أخرى تسمى BlueNoroff (المعروفة أيضًا باسم APT38 وNickel Gladstone وStardust Chollima)، مما يدل على مشاركة البنية التحتية ومجموعة الأدوات بين جهات التهديد هذه.
“يقع Citrine Sleet في كوريا الشمالية ويستهدف في المقام الأول المؤسسات المالية، وخاصة المنظمات والأفراد الذين يديرون العملات المشفرة، لتحقيق مكاسب مالية،” فريق Microsoft Threat Intelligence قال.
“كجزء من تكتيكات الهندسة الاجتماعية، أجرت Citrine Sleet استطلاعًا واسع النطاق لصناعة العملات المشفرة والأفراد المرتبطين بها.”
سلاسل الهجوم تنطوي عادة إنشاء مواقع ويب مزيفة تتنكر في صورة منصات تداول عملات مشفرة مشروعة تسعى إلى خداع المستخدمين لتثبيت محافظ عملات مشفرة مسلحة أو تطبيقات تداول تسهل سرقة الأصول الرقمية.
تضمن هجوم استغلال يوم الصفر المرصود بواسطة Citrine Sleet استغلال CVE-2024-7971، وهي ثغرة أمنية شديدة الخطورة في محرك V8 JavaScript وWebAssembly والتي يمكن أن تسمح للجهات الفاعلة في مجال التهديد بالحصول على تنفيذ تعليمات برمجية عن بُعد (RCE) في وضع الحماية. عملية عرض الكروم. تم تصحيحه بواسطة Google كجزء من التحديثات التي تم إصدارها الأسبوع الماضي.
كما ذكر The Hacker News سابقًا، فإن CVE-2024-7971 هو الخطأ الثالث الذي يتم استغلاله بشكل نشط في V8 والذي قامت Google بحله هذا العام بعد CVE-2024-4947 وCVE-2024-5274.
ليس من الواضح حاليًا مدى انتشار هذه الهجمات أو من كان مستهدفًا، ولكن يقال إن الضحايا تم توجيههم إلى موقع ويب ضار يسمى voyagorclub[.]من المحتمل أن يكون ذلك من خلال تقنيات الهندسة الاجتماعية، مما يؤدي إلى استغلال CVE-2024-7971.
يمهد استغلال RCE، من جانبه، الطريق لاسترجاع كود القشرة الذي يحتوي على استغلال الهروب من وضع الحماية لنظام Windows (CVE-2024-38106) وFudModule rootkit، الذي يُستخدم لتأسيس وصول إداري إلى kernel إلى الأنظمة المستندة إلى Windows للسماح بوظائف القراءة/الكتابة البدائية وتنفيذها [direct kernel object manipulation]”.
يعد CVE-2024-38106، وهو خطأ تصعيد امتيازات Windows kernel، أحد العيوب الأمنية الستة المستغلة بشكل نشط والتي عالجتها Microsoft كجزء من تحديث Patch Tuesday لشهر أغسطس 2024. ومع ذلك، فقد تبين أن الاستغلال المرتبط بالخلل Citrine Sleet قد حدث بعد إصدار الإصلاح.
وقالت مايكروسوفت: “قد يشير هذا إلى “تصادم الأخطاء”، حيث يتم اكتشاف نفس الثغرة الأمنية بشكل مستقل من قبل جهات تهديد منفصلة، أو يتم مشاركة المعرفة بالثغرة الأمنية من قبل باحث واحد في الثغرات الأمنية مع جهات فاعلة متعددة”.
تعد CVE-2024-7971 أيضًا الثغرة الأمنية الثالثة التي استغلتها الجهات الفاعلة في مجال التهديد في كوريا الشمالية هذا العام لإسقاط برنامج FudModule rootkit، بعد CVE-2024-21338 وCVE-2024-38193، وكلاهما عبارة عن عيوب تصعيد الامتيازات في البرنامج المدمج. تم إصلاح برامج تشغيل Windows بواسطة Microsoft في فبراير وأغسطس.
وقالت الشركة: “تعتمد سلسلة الاستغلال CVE-2024-7971 على مكونات متعددة لاختراق الهدف، وتفشل سلسلة الهجوم هذه إذا تم حظر أي من هذه المكونات، بما في ذلك CVE-2024-38106”.
“لا تتطلب عمليات استغلال يوم الصفر تحديث الأنظمة فحسب، بل تتطلب أيضًا حلولًا أمنية توفر رؤية موحدة عبر سلسلة الهجمات الإلكترونية لاكتشاف وحظر أدوات المهاجم بعد الاختراق والأنشطة الضارة بعد الاستغلال.”
إرسال التعليق