Peretas Korea Utara telah mengeksploitasi zero-day Google Chrome yang baru saja ditambal (CVE-2024-7971) untuk menyebarkan rootkit FudModule setelah memperoleh hak istimewa SISTEM menggunakan eksploitasi Kernel Windows.
“Kami menilai dengan keyakinan tinggi bahwa eksploitasi CVE-2024-7971 yang diamati dapat dikaitkan dengan aktor ancaman Korea Utara yang menargetkan sektor mata uang kripto untuk keuntungan finansial,” kata Microsoft dikatakan pada hari Jumat, menghubungkan serangan tersebut dengan Citrine Sleet (sebelumnya dilacak sebagai PENGEMBANGAN-0139).
Vendor keamanan siber lainnya melacak kelompok ancaman Korea Utara ini sebagai AppleJeus, Labyrinth Chollima, dan UNC4736, sementara pemerintah AS secara kolektif menyebut aktor jahat yang disponsori oleh pemerintah Korea Utara sebagai Hidden Cobra.
Citrine Sleet menargetkan lembaga keuangan, dengan fokus pada organisasi mata uang kripto dan individu terkait, dan sebelumnya telah dikaitkan dengan Biro 121 dari Biro Umum Pengintaian Korea Utara.
Peretas Korea Utara juga dikenal menggunakan situs web jahat yang menyamar sebagai platform perdagangan mata uang kripto yang sah untuk menginfeksi calon korban dengan lamaran kerja palsu atau dompet mata uang kripto atau aplikasi perdagangan yang dijadikan senjata.
UNC4736 di-trojan klien desktop berbasis Electron dari pembuat perangkat lunak konferensi video 3CX pada bulan Maret 2023, setelah serangan rantai pasokan sebelumnya di mana mereka melanggar situs Trading Technologiessebuah perusahaan otomasi perdagangan saham, untuk mendorong pembuatan perangkat lunak X_TRADER yang terinfeksi Trojan.
Kelompok Analisis Ancaman (TAG) Google juga terkait AppleJeus melaporkan adanya peretasan pada situs web Trading Technologies dalam laporannya pada bulan Maret 2022. Pemerintah AS juga memperingatkan tentang peretas negara yang didukung Korea Utara yang menargetkan perusahaan dan individu terkait mata uang kripto. dengan malware AppleJeus selama bertahun-tahun.
Kernel Windows yang diunduh dalam serangan zero-day Chrome
Google menambal zero-day CVE-2024-7971 minggu lalu, menggambarkannya sebagai kelemahan kebingungan tipe pada mesin JavaScript V8 Chrome. Kerentanan ini memungkinkan pelaku ancaman untuk memperoleh eksekusi kode jarak jauh dalam proses perender Chromium sandboxed dari target yang diarahkan ke situs web yang dikendalikan penyerang di voyagorclub(.)space.
Setelah lolos dari sandbox, mereka menggunakan browser web yang disusupi untuk mengunduh eksploitasi lolos sandbox Windows yang menargetkan CVE-2024-38106 kelemahan pada Kernel Windows (diperbaiki selama Patch Tuesday bulan ini), yang memungkinkan mereka memperoleh hak istimewa SISTEM.
Pelaku ancaman juga mengunduh dan memuat rootkit FudModule ke dalam memori, yang digunakan untuk merusak kernel dan memanipulasi objek kernel secara langsung (DKOM) serta memungkinkan mereka menerobos mekanisme keamanan kernel.
Sejak ditemukannya di Oktober 2022rootkit ini juga digunakan oleh Diamond Sleet, kelompok peretas Korea Utara lainnya yang bekerja sama dengan Citrine Sleet dalam berbagi peralatan berbahaya dan infrastruktur serangan lainnya.
“Pada tanggal 13 Agustus, Microsoft merilis pembaruan keamanan untuk mengatasi kerentanan zero-day pada driver AFD.sys di Windows (CVE-2024-38193) yang diidentifikasi oleh Gen Threat Labs,” kata Microsoft dikatakan pada hari jumat.
“Pada awal Juni, Gen Threat Labs mengidentifikasi Diamond Sleet yang mengeksploitasi kerentanan ini dalam serangan yang menggunakan rootkit FudModule, yang menetapkan akses standar penuh dari pengguna ke kernel, yang berkembang dari akses admin ke kernel yang terlihat sebelumnya.”
Redmond menambahkan bahwa salah satu organisasi yang menjadi sasaran serangan yang mengeksploitasi zero-day Chrome CVE-2024-7971 sebelumnya juga menjadi sasaran kelompok ancaman Korea Utara lainnya yang dilacak sebagai BlueNoroff (atau Sapphire Sleet).
