Nguồn: TheCyberSecurity News
Chromium là nền tảng cho nhiều trình duyệt web phổ biến bao gồm Google Chrome và Microsoft Edge, và đây là thứ sinh lợi nhất thu hút nhiều tin tặc nhất.
Các nhà phân tích an ninh mạng tại Microsoft gần đây đã phát hiện ra rằng tin tặc Triều Tiên đã tích cực khai thác lỗ hổng zero-day của Chromium RCE ngoài thực tế.
Vào ngày 19 tháng 8 năm 2024, Microsoft đã nêu tên một tác nhân đe dọa từ Triều Tiên đã sử dụng một lỗ hổng zero-day được mô tả là CVE-2024-7971 nhắm vào công cụ javascript V8 được tích hợp vào trình duyệt Web Chromium để thực hiện RCE trong quy trình kết xuất Chromium trong sandbox.
Thông qua hoạt động đang diễn ra, các nhà nghiên cứu đã kết nối mối đe dọa này với nhóm tác nhân đe dọa từ Triều Tiên được trích dẫn là “Citrine Sleet”.
Rootkit FudModule được triển khai như một phần của chiến dịch này cũng được cho là do nhóm hacker Diamond Sleet của Triều Tiên thực hiện.
Tuy nhiên, Microsoft đã báo cáo rằng công cụ và cơ sở hạ tầng chồng chéo giữa hai nhóm, cho thấy phần mềm độc hại FudModule có thể được sử dụng với Diamond Sleet.
Chromium RCE Zero-Day In The Wild
CVE-2024-7971 là lỗ hổng gây nhầm lẫn liên quan đến công cụ V8, ảnh hưởng đến tất cả các phiên bản Chromium trước 128.0.6613.84.
Tính đến ngày 21 tháng 8 năm 2024, Google đã đưa ra bản vá cho CVE-2024-7971, do đó, tất cả người dùng được khuyến khích đảm bảo rằng họ cài đặt bản dựng mới nhất của Chromium.
CVE-2024-7971 là lỗ hổng gây nhầm lẫn loại V8 thứ ba đã được vá trong V8 trong năm nay, sau CVE-2024-4947 và CVE-2024-5274.
Citrine Sleet là một tác nhân đe dọa của Triều Tiên tập trung chủ yếu vào việc phá vỡ các mạng lưới tài chính, bao gồm các tổ chức và cá nhân giao dịch tiền điện tử, nhằm mục đích gây quỹ cho chính phủ Triều Tiên, theo như Microsoft theo dõi.
Citrine Sleet đã tiến hành do thám rộng rãi trong lĩnh vực kinh doanh tiền điện tử và phát động các cuộc tấn công lừa đảo bằng cách thiết kế các nền tảng trao đổi tiền điện tử giả mạo.
Lý do chính để nhắm mục tiêu vào doanh nghiệp tiền điện tử Nhật Bản là Trojan AppleJeus, được sử dụng để thu thập thông tin quan trọng cho những kẻ khủng bố tiền điện tử và chiếm đoạt bất kỳ tài sản tiền điện tử nào liên quan đến mục tiêu.
Microsoft cho biết Citrine Sleet đã thực hiện các cuộc tấn công zero-day, chẳng hạn như khai thác thoát khỏi hộp cát CVE-2024-38106, được sử dụng để thoát khỏi hạt nhân Windows với mục đích thực thi mã độc hại và cài đặt rootkit FudModule.
Rootkit này sử dụng các kỹ thuật thao túng đối tượng hạt nhân trực tiếp (DKOM) để phá vỡ các cơ chế bảo mật hạt nhân và thực hiện can thiệp hạt nhân thông qua một nguyên hàm đọc và ghi hạt nhân.
Nhiều công ty bảo mật theo dõi Citrine Sleet dưới nhiều tên khác nhau, bao gồm AppleJeus, Labyrinth Chollima, UNC4736 và Hidden Cobra, và được cho là của Cục 121 thuộc Tổng cục Trinh sát Triều Tiên.
FudModule là một loại rootkit phần mềm độc hại tinh vi cố gắng lấy các cơ chế truy cập hạt nhân một cách lén lút.
Kể từ tháng 10 năm 2021, Diamond Sleet đã sử dụng FudModule trong đó quyền truy cập quản trị vào hạt nhân được thực hiện bằng cách sử dụng các trình điều khiển dễ bị tấn công đã biết.
Cấu hình mới nhất của FudModule, tận dụng mối đe dọa an ninh mạng nhắm vào appid.sys. Chuỗi tấn công triển khai biến thể này liên quan đến Kaolin RAT.
Vào ngày 13 tháng 8 năm 2024, Microsoft đã phát hành bản cập nhật bảo mật để khắc phục lỗ hổng zero-day AFD.sys mà Diamond Sleet đã khai thác bằng rootkit FudModule.
Khuyến nghị
Dưới đây chúng tôi đã đề cập đến tất cả các khuyến nghị:
- Giữ cho hệ thống và trình duyệt được cập nhật (Chrome 128.0.6613.84+, Edge 128.0.2739.42+).
- Sử dụng trình duyệt hỗ trợ SmartScreen.
- Bật chế độ chống giả mạo, bảo vệ mạng và chặn EDR.
- Tự động phản hồi Defender Endpoint.
- Kích hoạt đám mây, thời gian thực và quét tệp trong Defender.
IoCs
- voyagorclub[.]space
- weinsteinfrog[.]com