O Chromium é a base de muitos navegadores populares, incluindo o Google Chrome e o Microsoft Edge, e é o recurso mais lucrativo que mais atrai os hackers.
Chromium
Analistas de segurança cibernética da Microsoft descobriram recentemente que hackers norte-coreanos têm explorado ativamente o Chromium RCE zero-day.
Em 19 de agosto de 2024, a Microsoft nomeou um agente de ameaça da Coreia do Norte que estava utilizando um exploit de dia zero descrito como CVE-2024-7971 visando o mecanismo JavaScript V8 incorporado ao navegador Chromium para executar RCE dentro do processo de renderização do Chromium em sandbox.
Por meio da atividade em andamento, os pesquisadores conectaram essa ameaça ao grupo de atores de ameaças norte-coreanos citado como “Citrine Sleet”.
O rootkit FudModule implantado como parte desta campanha também foi atribuído ao grupo de ameaças norte-coreano Diamond Sleet .
No entanto, a Microsoft já informou que a ferramenta e a infraestrutura se sobrepõem entre os dois grupos, indicando que o malware FudModule pode ser usado com o Diamond Sleet.
Chromium RCE Zero-Day na Natureza
CVE-2024-7971 é uma vulnerabilidade de confusão relacionada ao mecanismo V8, afetando todas as versões do Chromium anteriores a 128.0.6613.84.
O Google, em 21 de agosto de 2024, lançou o patch para CVE-2024-7971, portanto, todos os usuários são incentivados a instalar a versão mais recente do Chromium.
CVE-2024-7971 é a terceira vulnerabilidade de confusão do tipo V8 explorada que foi corrigida no V8 este ano, depois de CVE-2024-4947 e CVE-2024-5274.
Citrine Sleet é um agente de ameaças norte-coreano que se concentra principalmente em interromper redes financeiras, incluindo organizações e indivíduos que lidam com criptomoedas, em uma tentativa de levantar fundos para o governo norte-coreano, conforme rastreado pela Microsoft.
A Citrine Sleet realizou um amplo reconhecimento no domínio dos negócios de criptomoedas e lança ataques de phishing projetando plataformas falsas de câmbio de criptomoedas.
O principal motivo para atacar o negócio de criptomoedas japonês é o Trojan AppleJeus, que é usado para capturar informações críticas para criptoterroristas e sequestrar quaisquer ativos criptográficos associados aos alvos.
A Microsoft disse que o Citrine Sleet realizou ataques de dia zero, como o exploit de escape de sandbox CVE-2024-38106, que foi utilizado para escapar do kernel do Windows com o objetivo de executar código malicioso e instalar o FudModule para fazer root nele.
Este rootkit emprega técnicas de manipulação direta de objetos do kernel (DKOM) para interromper os mecanismos de segurança do kernel e executar adulterações do kernel por meio de uma primitiva de leitura e gravação do kernel.
Várias empresas de segurança rastreiam o Citrine Sleet com nomes diferentes, incluindo AppleJeus, Labyrinth Chollima, UNC4736 e Hidden Cobra, e ele foi atribuído ao Bureau 121 do Reconnaissance General Bureau da Coreia do Norte.
FudModule é um tipo de malware sofisticado do tipo rootkit que tenta obter mecanismos de acesso ao kernel furtivamente.
Desde outubro de 2021, a Diamond Sleet utiliza o FudModule, em que o acesso do administrador ao kernel é possível por meio do uso de drivers vulneráveis conhecidos.
A configuração mais recente do FudModule, que tira vantagem da ameaça de segurança cibernética direcionada ao appid.sys. A cadeia de ataque que implanta essa variante envolve o Kaolin RAT.
Em 13 de agosto de 2024, a Microsoft lançou uma atualização de segurança para corrigir uma vulnerabilidade de dia zero do AFD.sys que o Diamond Sleet havia explorado com o rootkit FudModule.
Recomendações
Abaixo mencionamos todas as recomendações:
- Mantenha os sistemas e navegadores atualizados (Chrome 128.0.6613.84+, Edge 128.0.2739.42+).
- Use navegadores habilitados para SmartScreen.
- Habilitar modo de violação, proteção de rede e bloqueio EDR.
- Automatize as respostas do Defender Endpoint.
- Ative a verificação de arquivos, em tempo real e na nuvem no Defender.
IoCs
- voyagorclub[.]espaço
- weinsteinfrog[.]com
+Mais
Hackers usam aplicativos falsos de videoconferência para roubar dados de profissionais da Web3
Botnet Socks5Systemz alimenta serviço de proxy ilegal com mais de 85.000 dispositivos hackeados
Campanha de notícias falsas alimentada por IA tem como alvo o apoio ocidental às eleições na Ucrânia e nos EUA