Des pirates nord-coréens ont exploité un jour zéro Google Chrome récemment corrigé (CVE-2024-7971) pour déployer le rootkit FudModule après avoir obtenu des privilèges SYSTÈME à l’aide d’un exploit du noyau Windows.
« Nous estimons avec une grande confiance que l’exploitation observée de CVE-2024-7971 peut être attribuée à un acteur de la menace nord-coréen ciblant le secteur de la crypto-monnaie à des fins financières », a déclaré Microsoft vendredi, attribuant les attaques à Citrine Sleet (précédemment suivi sous le nom de DEV-0139).
D’autres fournisseurs de cybersécurité suivent ce groupe de menaces nord-coréen comme AppleJeus, Labyrinth Chollima et UNC4736, tandis que le gouvernement américain désigne collectivement les acteurs malveillants parrainés par le gouvernement nord-coréen comme Cobra caché.
Citrine Sleet cible les institutions financières, en se concentrant sur les organisations de crypto-monnaie et les personnes associées, et a déjà été lié au Bureau 121 du Bureau général de reconnaissance de la Corée du Nord.
Les pirates nord-coréens sont également connus pour utiliser des sites Web malveillants camouflés en plates-formes de trading de crypto-monnaie légitimes pour infecter les victimes potentielles avec de fausses demandes d’emploi ou des portefeuilles de crypto-monnaie armés ou des applications de trading.
UNC4736 a trojanisé le client de bureau électronique du fabricant de logiciels de visioconférence 3CX en mars 2023, à la suite d’une précédente attaque de la chaîne d’approvisionnement au cours de laquelle ils ont violé le site de Trading Technologies, une société d’automatisation de négociation d’actions, pour pousser des versions de logiciels X_TRADER trojanisées.
Le Groupe d’analyse des menaces (TAG) de Google a également lié AppleJeus à la compromission du site Web de Trading Technologies dans un rapport de mars 2022. Le gouvernement américain a également mis en garde contre les pirates informatiques soutenus par la Corée du Nord qui ciblent les entreprises et les particuliers liés à la crypto-monnaie avec des logiciels malveillants AppleJeus depuis des années.
Noyau Windows téléchargé dans l’attaque zero-day de Chrome
Google a corrigé le jour zéro CVE-2024-7971 la semaine dernière, le décrivant comme une faiblesse de confusion de type dans le moteur JavaScript V8 de Chrome. Cette vulnérabilité a permis aux auteurs de la menace d’obtenir l’exécution de code à distance dans le processus de rendu Chromium en bac à sable des cibles redirigées vers un site Web contrôlé par l’attaquant à voyagorclub [.] espace.
Après avoir échappé au bac à sable, ils ont utilisé le navigateur Web compromis pour télécharger un exploit d’évasion du bac à sable Windows ciblant la faille CVE-2024-38106 dans le noyau Windows (corrigée lors du Patch Tuesday de ce mois-ci), ce qui leur a permis d’obtenir des privilèges SYSTÈME.
Les auteurs de la menace ont également téléchargé et chargé le rootkit FudModule en mémoire, qui a été utilisé pour la falsification du noyau et la manipulation directe des objets du noyau (DKOM) et leur a permis de contourner les mécanismes de sécurité du noyau.
Depuis sa découverte en octobre 2022, ce rootkit a également été utilisé par Diamond Sleet, un autre groupe de piratage nord-coréen avec lequel Citrine Sleet partage d’autres outils malveillants et infrastructures d’attaque.
« Le 13 août, Microsoft a publié une mise à jour de sécurité pour corriger une vulnérabilité zero-day dans l’AFD.pilote sys dans Windows (CVE-2024-38193) identifié par Gen Threat Labs », a déclaré Microsoft vendredi.
« Début juin, Gen Threat Labs a identifié Diamond Sleet exploitant cette vulnérabilité dans une attaque utilisant le rootkit FudModule, qui établit un accès standard complet de l’utilisateur au noyau, passant de l’accès administrateur au noyau précédemment vu. »
Redmond a ajouté que l’une des organisations ciblées par des attaques exploitant le Chrome zero-day CVE-2024-7971 avait également déjà été ciblée par un autre groupe de menaces nord-coréen connu sous le nom de BlueNoroff (ou Sapphire Sleet).