Nordkoreanische Hacker haben einen kürzlich gepatchten Sicherheitsfehler in Google Chrome und anderen Chromium-basierten Webbrowsern als Zero-Day-Exploit genutzt, um das FudModule-Rootkit zu verbreiten. Dieser Vorfall zeigt die anhaltenden Bemühungen der nordkoreanischen Regierung, Zero-Day-Exploits für Windows in ihr Arsenal aufzunehmen. Microsoft hat die Aktivität, die am 19. August 2024 entdeckt wurde, dem Bedrohungsakteur Citrine Sleet (ehemals DEV-0139 und DEV-1222) zugeschrieben, der auch als AppleJeus, Labyrinth Chollima, Nickel Academy und UNC4736 bekannt ist. Citrine Sleet gilt als Untergruppe der Lazarus Group (alias Diamond Sleet und Hidden Cobra). Es ist erwähnenswert, dass die Verwendung der AppleJeus-Malware zuvor auch von Kaspersky einer anderen Lazarus-Untergruppe namens BlueNoroff (alias APT38, Nickel Gladstone und Stardust Chollima) zugeschrieben wurde, was auf eine gemeinsame Infrastruktur und gemeinsame Tools zwischen diesen Gruppen hindeutet. Das Microsoft Threat Intelligence Team beschreibt Citrine Sleet als in Nordkorea ansässig und fokussiert auf Finanzinstitute, insbesondere auf Organisationen und Einzelpersonen, die Kryptowährungen verwalten, mit dem Ziel der finanziellen Bereicherung. Die Gruppe setzt Social-Engineering-Taktiken ein, um Informationen über die Kryptowährungsindustrie und Personen, die mit ihr in Verbindung stehen, zu sammeln. Die Angriffsketten von Citrine Sleet beinhalten typischerweise die Einrichtung gefälschter Websites, die sich als legitime Kryptowährungs-Handelsplattformen tarnen und Benutzer dazu verleiten, kompromittierte Kryptowährungs-Wallets oder Handelsanwendungen zu installieren, die den Diebstahl digitaler Vermögenswerte ermöglichen. Der Zero-Day-Exploit-Angriff von Citrine Sleet nutzte CVE-2024-7971, eine Schwachstelle vom Typ „Type Confusion“ mit hoher Schweregrad in der JavaScript- und WebAssembly-Engine V8, die es Angreifern ermöglicht, Remote Code Execution (RCE) im Sandbox-Chromium-Renderer-Prozess zu erreichen. Google hat die Schwachstelle als Teil der Updates gepatcht, die letzte Woche veröffentlicht wurden. CVE-2024-7971 ist der dritte aktiv ausgenutzte Type-Confusion-Fehler in V8, den Google in diesem Jahr nach CVE-2024-4947 und CVE-2024-5274 behoben hat. Es ist derzeit unklar, wie weit verbreitet diese Angriffe waren oder wer das Ziel war, aber es wird vermutet, dass Opfer durch Social-Engineering-Techniken auf eine bösartige Website namens voyagorclub[.]space geleitet wurden, wodurch der Exploit für CVE-2024-7971 ausgelöst wurde. Der RCE-Exploit ermöglichte den Download von Shellcode, der einen Windows-Sandbox-Escape-Exploit (CVE-2024-38106) und das FudModule-Rootkit enthielt. Mit diesem Rootkit erlangten die Angreifer Administrator-Kernel-Zugriff auf Windows-basierte Systeme, um Lese-/Schreib-Primitive-Funktionen zu aktivieren und [direkte Kernel-Objektmanipulation] durchzuführen. CVE-2024-38106, ein Fehler in der Windows-Kernel-Berechtigungsstufen-Eskalation, ist einer von sechs aktiv ausgenutzten Sicherheitsfehlern, die Microsoft als Teil seines Patch Tuesday-Updates vom August 2024 behoben hat. Bemerkenswert ist, dass die Ausnutzung der Schwachstelle durch Citrine Sleet nach Veröffentlichung des Patches erfolgte. Microsoft vermutet, dass dies entweder auf eine „Fehlerkollision“ hindeutet, bei der dieselbe Schwachstelle unabhängig voneinander von verschiedenen Bedrohungsakteuren entdeckt wird, oder auf das Teilen von Informationen über die Schwachstelle durch einen Sicherheitsforscher mit mehreren Akteuren. CVE-2024-7971 ist die dritte Schwachstelle, die nordkoreanische Bedrohungsakteure in diesem Jahr ausgenutzt haben, um das FudModule-Rootkit zu verbreiten, nach CVE-2024-21338 und CVE-2024-38193, beides Schwachstellen der Berechtigungsstufen-Eskalation in integrierten Windows-Treibern, die von Microsoft im Februar und August behoben wurden. Microsoft betont, dass die Exploit-Kette CVE-2024-7971 auf mehrere Komponenten angewiesen ist, um ein Ziel zu kompromittieren, und dass die Angriffskette scheitert, wenn eine dieser Komponenten blockiert wird, einschließlich CVE-2024-38106. Das Unternehmen rät, nicht nur Systeme zu aktualisieren, sondern auch Sicherheitslösungen zu nutzen, die eine ganzheitliche Sichtbarkeit über die gesamte Cyberangriffskette hinweg bieten, um Angreiferwerkzeuge nach der Kompromittierung und bösartige Aktivitäten nach der Ausnutzung zu erkennen und zu blockieren.