استغل قراصنة من كوريا الشمالية ثغرة أمنية جديدة في متصفح Google Chrome (CVE-2024-7971) تم تصحيحها مؤخرًا لنشر برنامج الجذر FudModule بعد الحصول على امتيازات النظام باستخدام ثغرة في Windows Kernel.
“نقوم بتقييم بثقة عالية أن الاستغلال الملحوظ لـ CVE-2024-7971 يمكن أن يُعزى إلى جهة تهديد كورية شمالية تستهدف قطاع العملات المشفرة لتحقيق مكاسب مالية”، وفقًا لمايكروسوفت. قال يوم الجمعة، نسب الهجمات إلى Citrine Sleet (الذي تم تتبعه سابقًا باسم ديف-0139).
وتتبع شركات الأمن السيبراني الأخرى مجموعة التهديد الكورية الشمالية هذه باسم AppleJeus، وLabyrinth Chollima، وUNC4736، في حين تشير الحكومة الأمريكية بشكل جماعي إلى الجهات الخبيثة التي ترعاها الحكومة الكورية الشمالية باسم Hidden Cobra.
تستهدف مجموعة Citrine Sleet المؤسسات المالية، مع التركيز على منظمات العملات المشفرة والأفراد المرتبطين بها، وقد ارتبطت سابقًا بمكتب 121 التابع لمكتب الاستطلاع العام في كوريا الشمالية.
ومن المعروف أيضًا أن قراصنة كوريا الشمالية يستخدمون مواقع ويب ضارة متخفية في صورة منصات شرعية لتداول العملات المشفرة لإصابة الضحايا المحتملين بطلبات عمل مزيفة أو محافظ عملات مشفرة مسلحة أو تطبيقات تداول.
يو إن سي 4736 مُصاب بحصان طروادة عميل سطح المكتب القائم على Electron لشركة تصنيع برامج مؤتمرات الفيديو 3CX في مارس 2023، بعد هجوم سابق على سلسلة التوريد حيث تم اختراق موقع Trading Technologies، وهي شركة أتمتة تداول الأسهم، لدفع إصدارات برنامج X_TRADER المصابة بأحصنة طروادة.
مجموعة تحليل التهديدات (TAG) التابعة لشركة Google مرتبط أيضا أشارت شركة AppleJeus إلى اختراق موقع Trading Technologies في تقرير صدر في مارس 2022. كما حذرت الحكومة الأمريكية من قراصنة الدولة المدعومين من كوريا الشمالية الذين يستهدفون الشركات والأفراد المرتبطين بالعملات المشفرة مع البرامج الضارة AppleJeus لسنوات.
تم تنزيل نواة Windows في هجوم اليوم صفر على Chrome
جوجل تم تصحيح الثغرة الأمنية CVE-2024-7971 الأسبوع الماضي، وصفت هذه الثغرة بأنها ضعف في ارتباك النوع في محرك JavaScript V8 الخاص بمتصفح Chrome. وقد مكّنت هذه الثغرة الجهات الفاعلة في التهديد من الحصول على تنفيذ التعليمات البرمجية عن بُعد في عملية عرض Chromium المعزولة للأهداف المعاد توجيهها إلى موقع ويب يتحكم فيه المهاجم على voyagorclub[.]فضاء.
بعد الهروب من صندوق الحماية، استخدموا متصفح الويب المخترق لتنزيل ثغرة هروب من صندوق الحماية لنظام التشغيل Windows تستهدف سي في إي-2024-38106 خلل في نواة Windows (تم إصلاحه خلال تصحيح الثلاثاء لهذا الشهر)، والذي مكنهم من الحصول على امتيازات النظام.
قام الجناة أيضًا بتنزيل وتحميل روتكيت FudModule في الذاكرة، والذي تم استخدامه للتلاعب بالنواة والتلاعب المباشر بكائنات النواة (DKOM) مما سمح لهم بتجاوز آليات أمان النواة.
منذ اكتشافه في أكتوبر 2022تم استخدام هذا الجذر الخبيث أيضًا من قبل Diamond Sleet، وهي مجموعة قرصنة كورية شمالية أخرى تتشارك معها Citrine Sleet أدوات ضارة أخرى وبنية أساسية للهجوم.
“في 13 أغسطس، أصدرت Microsoft تحديثًا أمنيًا لمعالجة ثغرة أمنية جديدة في برنامج تشغيل AFD.sys في نظام التشغيل Windows (CVE-2024-38193) تم تحديدها بواسطة Gen Threat Labs،” Microsoft قال يوم الجمعة.
“في أوائل شهر يونيو، حددت Gen Threat Labs مجموعة Diamond Sleet التي استغلت هذه الثغرة الأمنية في هجوم باستخدام rootkit FudModule، والذي ينشئ وصولاً قياسيًا كاملاً من المستخدم إلى النواة، متقدمًا عن وصول المسؤول إلى النواة الذي شوهد سابقًا.”
وأضاف ريدموند أن إحدى المنظمات المستهدفة في الهجمات التي استغلت ثغرة CVE-2024-7971 في Chrome تعرضت أيضًا في السابق لاستهداف مجموعة تهديد كورية شمالية أخرى تم تعقبها باسم BlueNoroff (أو Sapphire Sleet).