吳明宜微軟研究人員發現,一個駭客組織已成功利用 Chromium 瀏覽器的零時差漏洞駭入 Windows PC,植入 rootkit 程式。
這個漏洞編號為 CVE-2024-7971,為 Chromium V8 JavaScript 及 WebAssembly 引擎的型態混淆漏洞,成功濫用可讓攻擊者在沙箱環境中的 Chromium 。受影響的是 128.0.6613.84 以前版本。 Google 已經在 8 月 21 日釋出更新修補完成。
微軟將北韓組織稱為 Citrine Sleet,曾是北韓偵察總局的下屬單位。微軟推測,在這波攻擊中,Citrine Sleet 傳送徵才訊息釣魚網站連結,有的則是以加密貨幣錢包 App 為餌,誘騙用戶下載。當受害者連到惡意網域時,就會濫用沙箱環境的 Chromium 的 CVE-2024-7971 漏洞執行 RCE 攻擊,在受害者 Windows PC 記憶體中下載包含 Windows 沙箱逃逸 (sandbox escape) 的攻擊程式,以及 FudModule rootkit 的 shellcode 。
Windows 沙箱逃逸攻擊程式另外濫用了另一個零時差 Windows 權限擴張漏洞 CVE-2024-38106 。一旦成功,FudModule rootkit 即被載入 Windows 核心,進行 Windows 核心物件操弄,擾亂核心安全機制、直接從用戶模式 user mode 執行指令,並竄改核心元件。 Citrine Sleet 主要是瞄準管理加密貨幣的企業或個人,以竊取財物為目的。
微軟分析,這波攻擊 Citrine Sleet 可能和今年稍早濫用 CVE-2024-38106 的另一個北韓駭客組織 Diamond Sleet 有合作關係,因為兩者共用基礎架構,也可能分享了漏洞知識。
除了 Chrome 外,其他研究人員發現,還有另外兩個 Windows 驅動程式漏洞也在今年二月及八月分別被北韓駭客濫用以部署 FudModule,其中也包含惡名昭彰的 Lazarsus 。
來源:The Record