Компания Microsoft сообщила, что северокорейские хакеры использовали недавно исправленную уязвимость нулевого дня в Google Chrome (CVE-2024-7971) для развертывания руткита FudModule. Малварь применялась после получения привилегий уровня SYSTEM с помощью эксплоита для бага в ядре Windows.
Свежая уязвимость CVE-2024-7971 в Chrome, об эксплуатации которой теперь предупредила Microsoft, была устранена в середине августа 2024 года. Тогда сообщалось, что проблема обнаружена в JavaScript-движке V8, ее нашли специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC), и она относится к типу type confusion.
Как сообщается теперь, жертвы попадали на контролируемый злоумышленниками сайт voyagorclub[.]space, и уязвимость позволяла хакерам добиться удаленного выполнения кода в процессе рендеринга в песочнице Chromium-браузеров.
После побега из песочницы хакеры использовали скомпрометированный браузер для загрузки эксплоита уязвимости CVE-2024-38106 в ядре Windows (исправлена в рамках августовского «вторника обновлений»), что позволило получить привилегии уровня SYSTEM.
Также исследователи рассказывают, что хакеры загружали в память пострадавшего устройства руткит FudModule, который использовался для вмешательства в ядро и прямого манипулирования объектами ядра, позволяя обходить защитные механизмы.
Впервые этот вредонос был обнаружен еще в октябре 2022 года, и ранее он применялся северокорейской группировкой Diamond Sleet, с которой Citrine Sleet имеет общие вредоносные инструменты и инфраструктуру.
Обычно группировка Citrine Sleet атакует финансовые учреждения (в основном криптовалютные организации) и связанных с ними лиц. К примеру, в марте 2023 года хакеры заразили трояном десктопный клиент 3CXDesktopApp компании 3CX и использовали его для распространения вредоносного ПО среди клиентов компании. Причем эта атака на цепочку поставок произошла из-за другой атаки на цепочку поставок: сначала злоумышленники взломали компанию Trading Technologies, занимающуюся автоматизацией биржевой торговли, и распространили троянизированные версии ее ПО.
Свежая уязвимость CVE-2024-7971 в Chrome, об эксплуатации которой теперь предупредила Microsoft, была устранена в середине августа 2024 года. Тогда сообщалось, что проблема обнаружена в JavaScript-движке V8, ее нашли специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC), и она относится к типу type confusion.
Как сообщается теперь, жертвы попадали на контролируемый злоумышленниками сайт voyagorclub[.]space, и уязвимость позволяла хакерам добиться удаленного выполнения кода в процессе рендеринга в песочнице Chromium-браузеров.
После побега из песочницы хакеры использовали скомпрометированный браузер для загрузки эксплоита уязвимости CVE-2024-38106 в ядре Windows (исправлена в рамках августовского «вторника обновлений»), что позволило получить привилегии уровня SYSTEM.
Также исследователи рассказывают, что хакеры загружали в память пострадавшего устройства руткит FudModule, который использовался для вмешательства в ядро и прямого манипулирования объектами ядра, позволяя обходить защитные механизмы.
Впервые этот вредонос был обнаружен еще в октябре 2022 года, и ранее он применялся северокорейской группировкой Diamond Sleet, с которой Citrine Sleet имеет общие вредоносные инструменты и инфраструктуру.
Также в отчете Microsoft отмечается, что одна из организаций, атакованная при помощи уязвимости CVE-2024-7971, ранее уже была атакована другой северокорейской хак-групой — BlueNoroff (она де Sapphire Sleet).