Nord-Coréens exploitent une faille dans Google Chrome pour le rootkit FudModule

North Korean Hackers

Des attaques informatiques menées par la Corée du Nord grâce à une faille de sécurité dans Google Chrome

Une récente faille de sécurité corrigée dans Google Chrome et d’autres navigateurs web basés sur Chromium a été exploitée en tant que zero-day par des acteurs nord-coréens dans le cadre d’une campagne visant à diffuser le rootkit FudModule.

Cette attaque souligne les efforts persistants déployés par cet adversaire étatique, qui avait pris l’habitude d’intégrer de nombreuses failles zero-day de Windows à son arsenal ces derniers mois.

L’utilisation du malware AppleJeus par le groupe Lazarus

Microsoft, qui a détecté cette activité le 19 août 2024, l’a attribuée à un acteur de menace qu’il suit sous le nom de Citrine Sleet, également connu sous les noms de AppleJeus, Labyrinth Chollima, Nickel Academy et UNC4736. Il est jugé être une sous-classe du groupe Lazarus (alias Diamond Sleet et Hidden Cobra).

Il est intéressant de noter que l’utilisation du malware AppleJeus a également été attribuée précédemment par Kaspersky à un autre sous-groupe de Lazarus appelé BlueNoroff (alias APT38, Nickel Gladstone et Stardust Chollima), ce qui indique un partage d’infrastructures et d’outils entre ces acteurs de menace.

Les cibles de ces attaques

« Citrine Sleet est basé en Corée du Nord et vise principalement les institutions financières, en particulier les organisations et les individus gérant des cryptomonnaies, dans le but de réaliser des gains financiers », a déclaré l’équipe Microsoft Threat Intelligence.

Les chaînes d’attaques observées impliquent généralement la création de faux sites web se faisant passer pour des plateformes de trading de cryptomonnaies légitimes, afin de tromper les utilisateurs en les incitant à installer des portefeuilles de cryptomonnaie ou des applications de trading piégées facilitant le vol d’actifs numériques.

Les exploits zero-day de Citrine Sleet

L’exploitation de la vulnérabilité CVE-2024-7971, une faille de confusion de types de gravité élevée dans le moteur V8 JavaScript et WebAssembly, a permis à Citrine Sleet d’obtenir une exécution de code à distance (RCE) dans le processus de rendu Chromium isolé. Cette vulnérabilité a été corrigée par Google dans les mises à jour publiées la semaine dernière.

L’exploit RCE a ouvert la voie à l’obtention de shellcode contenant un exploit d’évasion de sandbox Windows (CVE-2024-38106) et du rootkit FudModule, utilisé pour établir un accès admin-noyau aux systèmes Windows afin de permettre des fonctions primitives de lecture/écriture et de manipulation directe des objets du noyau.

Il n’est pas encore clair dans quelle mesure ces attaques ont été répandues ou qui a été ciblé, mais les victimes auraient été dirigées vers un site web malveillant nommé voyagorclub[.]space probablement grâce à des techniques d’ingénierie sociale, déclenchant ainsi l’exploitation de la CVE-2024-7971.

Les vulnérabilités exploitées par Citrine Sleet

La CVE-2024-38106, une faille d’élévation de privilèges du noyau Windows, est l’une des six vulnérabilités de sécurité activement exploitées que Microsoft a corrigées dans sa mise à jour Patch Tuesday d’août 2024. Cependant, l’exploitation de cette faille liée à Citrine Sleet s’est produite après la sortie du correctif.

La CVE-2024-7971 est également la troisième vulnérabilité exploitée cette année par des acteurs de menace nord-coréens pour déployer le rootkit FudModule, après la CVE-2024-21338 et la CVE-2024-38193, qui sont des failles d’élévation de privilèges dans les pilotes Windows intégrés corrigées par Microsoft en février et août.

« Les exploits zero-day nécessitent non seulement de maintenir les systèmes à jour, mais également des solutions de sécurité offrant une visibilité unifiée sur la chaîne d’attaques cybernétiques pour détecter et bloquer les outils post-compromission des attaquants et les activités malveillantes suivant l’exploitation », a déclaré l’entreprise.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire davantage de contenus exclusifs que nous publions.

Source : thehackernews.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut