استغلت مجموعة القرصنة Lazarus الكورية الشمالية برنامج Google Chrome Zero-day الذي تم تتبعه باسم CVE-2024-4947 من خلال لعبة تمويل لامركزي زائفة (DeFi) تستهدف الأفراد في مجال العملات المشفرة.
اكتشف Kaspersky الهجمات في 13 مايو 2024، وأبلغ Google عن ثغرة Chrome-day.
جوجل”https://www.bleepingcomputer.com/news/google/google-fixes-CVE-2024-4947-third-actively-exploited-chrome-zero-day-in-a-week/” الهدف=”_blank”>أصدر إصلاحًا لـ CVE-2024-4947 في 25 مايو، مع إصدار Chrome 125.0.6422.60/.61.
العاب دبابات لازاروس
واكتشفت كاسبرسكي الحملة التي بدأت في فبراير 2024، بعد اكتشاف نسخة جديدة من البرنامج “Manuscrypt” برامج ضارة مستترة على الكمبيوتر الشخصي لأحد عملائها في روسيا.
يستخدم Lazarus Manuscrypt منذ سنوات، لكن الباحثين كانوا مفتونين بنطاق الاستهداف غير المعتاد لممثل التهديد، والذي يبدو أنه شمل أفرادًا عشوائيين.
أظهر المزيد من القياس عن بعد أنه تم استغلال Google Chrome قبل اكتشاف حمولة Manuscrypt الجديدة، حيث نشأ الاستغلال من “detankzone[.]com” موقع إلكتروني. قام هذا الموقع بالترويج للعبة ساحة معركة متعددة اللاعبين عبر الإنترنت (MOBA) تعتمد على NFT وتتمحور حول الدبابات المسماة DeTankZone.
قام Lazarus بالترويج للعبة بشكل كبير من خلال الحملات الإعلانية على منصات التواصل الاجتماعي مثل X ورسائل البريد الإلكتروني التصيدية وحسابات LinkedIn المتميزة المستخدمة في الهجمات المباشرة على أهداف ذات قيمة عالية.
عند تنزيل اللعبة وهندستها احتياطيًا، اكتشف Kaspersky أن اللعبة تعتمد على كود مصدر مسروق من لعبة شرعية تسمى DeFiTankLand، والتي قام Lazarus ببساطة بإعادة تسميتها لأغراضهم.
يتم تشغيل تنزيل ZIP بحجم 400 ميجابايت كما هو متوقع، ولكنه لا يعمل بعد شاشة تسجيل الدخول/التسجيل حيث تم إيقاف البنية التحتية الخلفية للعبة. علاوة على ذلك، لم ينفذ أي إجراءات ضارة على نظام الهدف.
يحدث استغلال Google Chrome في منطقة الفصل[.]com نفسه، والذي يحتوي على برنامج نصي مخفي (index.tsx) مصمم لإثارة استغلال لـ CVE-2024-4947، وهو نوع من الارتباك في V8، محرك Javascript في Chrome.
المصدر: كاسبيرسكي
أدى البرنامج النصي لاستغلال Lazarus إلى إتلاف ذاكرة Chrome من خلال الاستفادة من مترجم JIT الخاص بالتطبيق، Maglev، والكتابة فوق الأقسام التي منحتهم في النهاية إمكانية الوصول إلى مساحة العنوان الكاملة لعملية Chrome.
في هذه المرحلة، يمكن للمهاجمين الوصول إلى ملفات تعريف الارتباط ورموز المصادقة وكلمات المرور المحفوظة وسجل التصفح.
المصدر: كاسبيرسكي
يعمل صندوق الحماية V8 الخاص بمتصفح Chrome على عزل تنفيذ JavaScript عن بقية النظام، لذلك استخدم Lazarus عيبًا ثانيًا في V8 للهروب منه وتحقيق تنفيذ التعليمات البرمجية عن بُعد، وتنفيذ كود القشرة في ذاكرة النظام.
“This issue (330404819) was submitted and fixed in March 2024,” يشرح كاسبيرسكي حول عيب الهروب V8.
“It is unknown whether it was a bug collision and the attackers discovered it first and initially exploited it as a 0-day vulnerability, or if it was initially exploited as a 1-day vulnerability.”
يعمل كود القشرة الذي استخدمه Lazarus كأداة استطلاع، حيث يساعد المهاجمين على تحديد ما إذا كانت الآلة المخترقة ذات قيمة كافية لمواصلة الهجوم.
لقد قام بجمع معلومات وحدة المعالجة المركزية (CPU) ونظام BIOS ونظام التشغيل، وأجرى فحوصات لمكافحة الأجهزة الافتراضية (VM) ومكافحة تصحيح الأخطاء، وأرسل المعلومات إلى خادم القيادة والتحكم (C2) الخاص بـ Lazarus.
لم تتح لشركة Kaspersky الفرصة لفحص خطوات الهجوم اللاحقة، لأنه بحلول وقت التحليل، كان Lazarus قد أزال برمجيته المستغلة من موقع الشرك.
ومع ذلك، بناءً على الأشخاص الذين استهدفتهم الحملة الخبيثة وبياناتهم”https://www.bleepingcomputer.com/news/security/hackers-stole-620-million-from-axie-infinity-via-fake-job-interviews/” الهدف=”_blank”> التاريخ الماضي، كان الهدف النهائي للهجوم على الأرجح هو سرقة العملة المشفرة.