Nhóm Lazarus khai thác lỗ hổng của Google Chrome để kiểm soát các thiết bị bị nhiễm
Nhóm Lazarus khai thác lỗ hổng của Google Chrome để kiểm soát các thiết bị bị nhiễm
Nhóm đe dọa Triều Tiên có tên là Lazarus Group đã bị quy cho tội khai thác lỗ hổng zero-day của một lỗ hổng bảo mật hiện đã được vá trong Google Chrome để chiếm quyền kiểm soát các thiết bị bị nhiễm.
Nhà cung cấp an ninh mạng Kaspersky cho biết họ đã phát hiện ra một chuỗi tấn công mới vào tháng 5 năm 2024 nhắm vào máy tính cá nhân của một công dân Nga giấu tên bằng cửa hậu Manuscrypt.
Điều này đòi hỏi phải kích hoạt khai thác zero-day chỉ khi truy cập vào một trang web trò chơi giả mạo ("detankzone[.]com") nhắm vào các cá nhân trong lĩnh vực tiền điện tử. Chiến dịch này ước tính đã bắt đầu vào tháng 2 năm 2024.
"Trên bề mặt, trang web này giống như một trang sản phẩm được thiết kế chuyên nghiệp cho một trò chơi xe tăng đấu trường trực tuyến nhiều người chơi (MOBA) dựa trên NFT phi tập trung (DeFi) (mã thông báo không thể thay thế), mời người dùng tải xuống phiên bản dùng thử", các nhà nghiên cứu của Kaspersky là Boris Larin và Vasily Berdnikov cho biết.
"Nhưng đó chỉ là ngụy trang. Đằng sau đó, trang web này có một tập lệnh ẩn chạy trong trình duyệt Google Chrome của người dùng, khởi chạy một khai thác lỗ hổng zero-day và trao cho kẻ tấn công quyền kiểm soát hoàn toàn PC của nạn nhân."
Lỗ hổng đang được đề cập là CVE-2024-4947, một lỗi nhầm lẫn kiểu trong công cụ V8 JavaScript và WebAssembly mà Google đã vá vào giữa tháng 5 năm 2024.
Việc sử dụng trò chơi xe tăng độc hại (DeTankWar, DeFiTankWar, DeTankZone hoặc TankWarsZone) làm phương tiện để phân phối phần mềm độc hại là một chiến thuật mà Microsoft đã quy cho một nhóm hoạt động đe dọa khác của Triều Tiên có tên là Moonstone Sleet.
Các cuộc tấn công này được thực hiện bằng cách tiếp cận các mục tiêu tiềm năng thông qua email hoặc nền tảng nhắn tin, lừa họ cài đặt trò chơi bằng cách đóng giả là một công ty blockchain hoặc nhà phát triển trò chơi đang tìm kiếm cơ hội đầu tư.
Những phát hiện mới nhất của Kaspersky bổ sung thêm một phần nữa vào câu đố tấn công, làm nổi bật vai trò của khai thác trình duyệt zero-day trong chiến dịch.
Cụ thể, khai thác chứa mã cho hai lỗ hổng: lỗ hổng đầu tiên được sử dụng để cung cấp cho kẻ tấn công quyền đọc và ghi vào toàn bộ không gian địa chỉ của quy trình Chrome từ JavaScript (CVE-2024-4947) và lỗ hổng thứ hai bị lạm dụng để vượt qua hộp cát V8.
"Lỗ hổng [thứ hai] là máy ảo có số lượng thanh ghi cố định và một mảng chuyên dụng để lưu trữ chúng, nhưng các chỉ mục thanh ghi được giải mã từ các thân lệnh và không được kiểm tra", các nhà nghiên cứu giải thích. "Điều này cho phép kẻ tấn công truy cập vào bộ nhớ bên ngoài ranh giới của mảng thanh ghi".
Google đã vá lỗ hổng hộp cát V8 vào tháng 3 năm 2024 sau báo cáo lỗi được gửi vào ngày 20 tháng 3 năm 2024. Tuy nhiên, hiện tại vẫn chưa biết liệu kẻ tấn công có phát hiện ra lỗ hổng này sớm hơn và biến nó thành lỗ hổng zero-day hay không hoặc liệu nó có bị khai thác thành lỗ hổng N-day hay không.
Sau khi khai thác thành công, kẻ tấn công sẽ chạy trình xác thực có dạng mã shellcode chịu trách nhiệm thu thập thông tin hệ thống, sau đó được sử dụng để xác định xem máy có đủ giá trị để thực hiện các hành động khai thác tiếp theo hay không. Hiện vẫn chưa rõ tải trọng chính xác được phân phối sau giai đoạn này.
"Điều không bao giờ ngừng gây ấn tượng với chúng tôi là nỗ lực mà Lazarus APT dành cho các chiến dịch kỹ thuật xã hội của họ", công ty Nga cho biết, chỉ ra mô hình liên hệ với những người có ảnh hưởng trong lĩnh vực tiền điện tử để giúp họ quảng bá trang web độc hại của mình.
"Trong nhiều tháng, những kẻ tấn công đã xây dựng sự hiện diện trên phương tiện truyền thông xã hội của chúng, thường xuyên đăng bài trên X (trước đây là Twitter) từ nhiều tài khoản và quảng bá trò chơi của chúng bằng nội dung do AI tạo ra và các nhà thiết kế đồ họa tạo ra".
Hoạt động của kẻ tấn công đã được quan sát trên X và LinkedIn, chưa kể đến việc tận dụng các trang web được thiết kế đặc biệt và các kỹ thuật lừa đảo để xâm nhập vào các mục tiêu quan tâm.
Trang web này cũng được thiết kế để dụ khách truy cập tải xuống tệp ZIP ("detankzone.zip"), sau khi khởi chạy, đây là trò chơi có thể tải xuống đầy đủ chức năng, yêu cầu người chơi phải đăng ký, nhưng cũng chứa mã để khởi chạy trình tải tùy chỉnh có tên mã là YouieLoad, như Microsoft đã nêu chi tiết trước đó.
Hơn nữa, người ta tin rằng Nhóm Lazarus đã đánh cắp mã nguồn của trò chơi từ một trò chơi blockchain hợp pháp chơi để kiếm tiền (P2E) có tên là DeFiTankLand (DFTL), trò chơi này đã bị tấn công vào tháng 3 năm 2024, dẫn đến việc đánh cắp 20.000 đô la tiền DFTL2.
Mặc dù các nhà phát triển dự án đổ lỗi cho một người trong cuộc về vụ vi phạm, Kaspersky nghi ngờ rằng Nhóm Lazarus đứng sau vụ việc và chúng đã đánh cắp mã nguồn của trò chơi cùng với tiền DFTL2 và sử dụng lại để đạt được mục tiêu của mình.
"Lazarus là một trong những tác nhân APT tích cực và tinh vi nhất, và lợi ích tài chính vẫn là một trong những động cơ hàng đầu của chúng", các nhà nghiên cứu cho biết.
"Chiến thuật của những kẻ tấn công đang ngày càng phát triển và chúng liên tục nghĩ ra những kế hoạch kỹ thuật xã hội mới, phức tạp. Lazarus đã bắt đầu sử dụng AI tạo sinh thành công và chúng tôi dự đoán rằng chúng sẽ nghĩ ra những cuộc tấn công thậm chí còn tinh vi hơn nữa khi sử dụng công nghệ này."
Hương – Theo TheHackerNews
Tin liên quan:
NTS xin thông báo đến Quý khách hàng thời gian kì nghỉ của công ty năm 2024 từ Thứ Bảy 30/11/2024 đến thứ Hai 02/12/2024. Chúng tôi làm việc trở lại...
Chi tiếtCác nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiến dịch nhắm vào Úc, Nhật Bản, Tây Ban Nha, Vương...
Chi tiếtGoogle đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh email khi đăng ký dịch vụ trực tuyến và chống thư rác...
Chi tiết