แฮ็กเกอร์เกาหลีเหนือใช้ช่องโหว่ zero-day ใน Chrome เพื่อติดตั้ง rootkit

แฮ็กเกอร์เกาหลีเหนือได้ใช้ช่องโหว่ Google Chrome (CVE-2024-7971) ในการติดตั้ง FudModule rootkit เพื่อให้ได้สิทธิ์ SYSTEM และโจมตีผ่าน Windows Kernel โดยช่องโหว่นี้เพิ่งได้รับการแก้ไขไปเมื่อไม่นานมานี้

เมื่อวันศุกร์ที่ 16 สิงหาคม 2024 Microsoft ยืนยันว่า การโจมตีดังกล่าวเกิดจากช่องโหว่ CVE-2024-7971 ที่มาจากกลุ่มผู้โจมตีจากเกาหลีเหนือที่มีเป้าหมายไปยังภาคการเงินในรูปแบบสกุลเงินดิจิทัล โดยอ้างถึงการโจมตีของกลุ่ม Citrine Sleet ซึ่งถูกติดตามก่อนหน้านี้ในชื่อ DEV -0139

โดยบริษัทด้านความปลอดภัยรายอื่น ๆ ได้ติดตามกลุ่มผู้โจมตีนี้ในชื่อ AppleJeus, Labyrinth Chollima และ UNC4736 แต่ในฝั่งของรัฐบาลสหรัฐเรียกกลุ่มนี้ว่า Hidden Cobra

โดย Citrine Sleet มีเป้าหมายไปยังสถาบันการเงิน องค์กร หรือบุคคลที่มีการทำธุรกรรมเกี่ยวกับสกุลเงินดิจิทัล และจะเลือกเป้าหมายที่สำนักข่าวกรองของเกาหลีเหนือให้ข้อมูล

ผู้โจมตียังเป็นที่รู้จักในการปลอมตัวเป็นเว็บไซต์ หรือแพลตฟอร์มการซื้อขายสกุลเงินดิจิทัลที่ดูน่าเชื่อถือ มีการปลอมแปลงกระเป๋าเงินสกุลเงินดิจิทัล และยังหลอกเหยื่อในเรื่องการสมัครงานปลอม รวมไปถึงแอปการซื้อขายสกุลเงินดิจิทัลปลอม

กลุ่ม UNC4736 เคยทำการโจมตีซอฟต์แวร์ video conferencing ของ 3CX ในเดือนมีนาคม 2023 ด้วยวิธีการโจมตีแบบ supply-chain attack โดยใช้การเจาะเข้าถึงเว็บไซต์ของ Trading Technologies ซึ่งเป็นบริษัทที่ให้บริการในการซื้อขายหุ้นอัตโนมัติ เพื่อฝังโทรจันไว้ในซอฟต์แวร์ X_TRADER

ในเดือนมีนาคม 2022 มีรายงานว่า Google's Threat Analysis Group (TAG) ได้เชื่อมโยงกลุ่ม AppleJeus กับการโจมตี Trading Technologies ในรายงานเดือนมีนาคม 2022 รัฐบาลสหรัฐฯ ได้ออกแจ้งเตือนเกี่ยวกับผู้โจมตีที่ได้รับการสนับสนุนจากเกาหลีเหนือในการโจมตีบริษัท และบุคคลที่เกี่ยวข้องกับสกุลเงินดิจิทัลด้วยมัลแวร์ AppleJeus มาเป็นระยะเวลาหลายปีแล้ว

การโจมตีช่องโหว่ Windows Kernel downloaded

Google ได้ออกแพตช์แก้ไขช่องโหว่ zero-day หมายเลข CVE-2024-7971 โดยระบุว่าเป็นช่องโหว่ที่เกิดจาก Chrome V8 JavaScript engine โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ในรูปแบบการทำงานที่เป็น sandboxed Chromium renderer เพื่อเปลี่ยนเส้นทางไปยังเว็บไซต์ voyagorclub[.]space ของผู้โจมตีได้

หลังจากที่สามารถ escape sandbox ได้ ผู้โจมตีจะใช้เว็บเบราว์เซอร์ที่ถูกโจมตีเพื่อดาวน์โหลด Windows Sandbox Escape Exploit โดยมีเป้าหมายการโจมตีไปที่ช่องโหว่ CVE-2024-38106 ใน Windows Kernel ทำให้พวกเขาสามารถเข้าถึงสิทธิ์ระดับ SYSTEM ได้ (ซึ่งได้รับการแก้ไขใน Patch Tuesday ของเดือนสิงหาคมนี้ไปแล้ว)

ทั้งนี้ ผู้โจมตียังมีการดาวน์โหลด FudModule rootkit ลงในหน่วยความจำ ซึ่งใช้สำหรับ kernel tampering และ direct kernel object manipulation (DKOM) โดยตรง และเพื่อสามารถหลีกเลี่ยงการตรวจจับจากระบบตรวจสอบของ kernel

ในเดือนตุลาคม 2022 มีการค้นพบการใช้งาน rootkit จากกลุ่ม Diamond Sleet ซึ่งเป็นกลุ่มผู้โจมตีจากเกาหลีเหนืออีกกลุ่มหนึ่งที่มีการแชร์เครื่องมือที่เป็นอันตราย และโครงสร้างพื้นฐานการโจมตีร่วมกันกับกลุ่ม Citrine Sleet ด้วย

รวมถึง Microsoft ยังระบุเพิ่มเติมด้วยว่า ช่องโหว่ AFD.sys driver ใน Windows (CVE-2024-38193) ที่ถูกพบโดย Gen Threat Labs ได้รับการแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 13 สิงหาคม 2024 ที่ผ่านมาเช่นเดียวกัน

ในช่วงต้นเดือนมิถุนายน 2024 ทาง Gen Threat Labs ระบุว่ากลุ่ม Diamond Sleet ได้โจมตีผ่านช่องโหว่โดยใช้ FudModule rootkit ซึ่งเป็นการสร้างช่องทางการเข้าถึง kernel ในรูปแบบ user-to-kernel โดยเป็นการพัฒนามาจากการเข้าถึงในรูปแบบ admin-to-kernel

Microsoft ระบุว่า องค์กรที่ตกเป็นเป้าหมายในการโจมตีผ่านช่องโหว่ Chrome zero-day CVE-2024-7971 ในช่วงก่อนหน้านี้ก็เคยตกเป็นเป้าหมายจากกลุ่มผู้โจมตีเกาหลีเหนือ ที่ชื่อว่า BlueNoroff (หรือ Sapphire Sleet)

ที่มา : Bleepingcomputer