Хакеры Lazarus использовали уязвимость Google Chrome для заражения устройств
Группа глобальных исследований и анализа Касперского (GReAT) в среду сообщила, что печально известная северокорейская группа Lazarus Advanced Persistent Threat (APT) использовала уже исправленную уязвимость нулевого дня в Google Chrome через поддельную игру с децентрализованными финансами (DeFi) для установки шпионского ПО и кражи. учетные данные кошелька.
13 мая 2024 года эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию, которая началась в феврале 2024 года после того, как они обнаружили новый вариант бэкдора Manuscrypt на одном из компьютеров своих клиентов в России.
Lazarus использует вредоносное ПО Manuscrypt как минимум с 2013 года и использовалось в более чем 50 уникальных кампаниях, ориентированных на различные отрасли.
Сложная вредоносная кампания, раскрытая Касперским, во многом зависела от методов социальной инженерии и генеративного искусственного интеллекта, нацеленного на инвесторов в криптовалюту.
Исследователи «Лаборатории Касперского» обнаружили, что злоумышленник воспользовался двумя уязвимостями, одна из которых отслеживалась как CVE-2024-4947, ранее неизвестная ошибка нулевого дня в браузерном движке Google Chrome V8, которая позволяла удаленному злоумышленнику выполнить произвольный код внутри песочницы через созданную HTML-страницу.
Эта уязвимость была исправлена Google 25 мая 2024 года в Chrome версии 125.0.6422.60/.61 после того, как Касперский сообщил об ошибке компании.
Кроме того, вторая уязвимость позволила злоумышленникам обойти защиту песочницы Google Chrome V8. Google исправила уязвимость обхода песочницы в марте 2024 года.
Для своей кампании злоумышленники использовали веб-браузер Google Chrome, источником которого является сайт detankzone(.)com.
«На первый взгляд этот веб-сайт напоминал профессионально разработанную страницу продукта для многопользовательской онлайн-игры-танка на боевой арене (MOBA) на основе NFT (невзаимозаменяемых токенов) с децентрализованными финансами (DeFi), предлагающую пользователям загрузить пробную версию», — исследователи «Лаборатории Касперского». Борис Ларин и Василий Бердников сказал.
«Но это была всего лишь маскировка. Под капотом этого веб-сайта находился скрытый скрипт, который запускался в браузере пользователя Google Chrome, запуская эксплойт нулевого дня и предоставляя злоумышленникам полный контроль над компьютером жертвы. Достаточно было зайти на сайт, чтобы заразиться, а игра была просто отвлечением».
Касперский обнаружил, что злоумышленники использовали легальную NFT-игру — DeFiTankLand (DFTL) — в качестве прототипа поддельной игры и сохранили ее дизайн, очень похожий на оригинал. Чтобы беспрепятственно поддерживать иллюзию, фальшивая игра была разработана с использованием украденного исходного кода; однако логотипы и ссылки были изменены по сравнению с исходной версией.
Исследователи также добавили, что злоумышленники связались с влиятельными фигурами в сфере криптовалют, чтобы заставить их продвигать свой вредоносный веб-сайт; их криптокошельки также, вероятно, были скомпрометированы.
20 февраля 2024 года злоумышленники начали свою кампанию и начали рекламировать свою танковую игру на X, после чего у разработчика кошелька DeFiTankLand были украдены монеты DFTL2 на сумму $20 000.
Хотя разработчики проекта обвинили во взломе инсайдера, Касперский считает, что за атакой стояла группа Lazarus.
«Хотя мы и раньше видели, как участники APT преследовали финансовую выгоду, эта кампания была уникальной. Злоумышленники вышли за рамки типичной тактики и использовали полнофункциональную игру в качестве прикрытия для использования уязвимости нулевого дня в Google Chrome и заражения целевых систем. В случае с такими печально известными субъектами, как Лазарус, даже такие, казалось бы, безобидные действия, как переход по ссылке в социальной сети или электронном письме, могут привести к полной компрометации персонального компьютера или всей корпоративной сети. Значительные усилия, вложенные в эту кампанию, позволяют предположить, что у них были амбициозные планы, а фактическое воздействие может быть гораздо шире, потенциально затрагивая пользователей и бизнес по всему миру», — прокомментировал Ларин.