Un actor de amenazas perteneciente a la inteligencia norcoreana quemó dos nuevas vulnerabilidades el mes pasado en un intento de robar en la industria de las criptomonedas.
La mayoría de los delitos cibernéticos financieros son cometidos por ciberdelincuentes de nivel medio o bajo que buscan obtener ganancias rápidas. Éste no es el caso de Corea del Norte, cuyos sofisticados sistemas multimillonarios y Ciberapuestas multimillonarias Según las autoridades estadounidenses, los ataques a la industria privada occidental han contribuido a impulsar sus programas de armas nucleares.
Su último proyecto es uno de los más avanzados hasta el momento: encadena problemas previamente desconocidos en los navegadores Windows y Chromium y luego agrega un rootkit a la mezcla para obtener acceso profundo al sistema antes de robar los objetivos.
Paso 1: Chromium Zero-Day explotado activamente
El 21 de agosto Google lanzó una actualización de Chrome que incluía 38 correcciones de seguridad. Sin embargo, lo más destacado de este lote fue CVE-2024-7971.
CVE-2024-7971 fue un problema de confusión de tipos en el motor V8 que ejecuta JavaScript en Chrome y otros navegadores basados en Chromium. Al utilizar una página HTML especialmente diseñada, un atacante podría dañar el montón del navegador y aprovecharlo para obtener capacidades de ejecución remota de código (RCE). El problema recibió una calificación de gravedad «alta» de 8,8 sobre 10 CVSS.
No era sólo que el error fuera grave: también estaba siendo explotado activamente.
Microsoft, cuyo Centro de inteligencia de amenazas (MSTIC) y Centro de respuesta de seguridad (MSRC) informaron inicialmente del problema a Google, ahora ha coloreado entre líneas. En una publicación de blog del 30 de agostoMicrosoft ha revelado que una entidad dentro de la Oficina 121 de la Oficina de Reconocimiento General de Corea del Norte, una APT que rastrea con el nombre de Citrine Sleet (también conocido como AppleJeus, Labyrinth Chollima, UNC4736 y Hidden Cobra), utilizó CVE-2024-7971 en una campaña dirigida a empresas de cifrado. para obtener ganancias financieras.
Microsoft se negó a proporcionar a Dark Reading información adicional sobre las víctimas de la campaña o las consecuencias para esas víctimas.
Paso 2: error del kernel de Windows
Conocido por apuntar a instituciones financieras, un ataque típico de Citrine Sleet comienza con un sitio web falso disfrazado, por ejemplo, de una plataforma de comercio de criptomonedas. Puede utilizar este sitio como plataforma de lanzamiento para ofertas de trabajo falsas o para engañar a las víctimas para que descarguen una billetera de criptomonedas falsa o una aplicación comercial que contenga su troyano personalizado, AppleJeus.
En esta última campaña, las víctimas fueron atraídas mediante tácticas de ingeniería social desconocidas al dominio voyagorclub.[.]espacio. Aquellos que iniciaron sesión en el dominio activaron automáticamente el exploit de corrupción de memoria de día cero en Chromium.
Lejos de conformarse con un único error de alta gravedad, Citrine Sleet vinculó su exploit Chromium RCE a un segundo error de alta gravedad, CVE-2024-38106. CVE-2024-38106 es una escalada de privilegios en el kernel de Windows que permite a un atacante obtener valiosos privilegios a nivel del sistema. (Su modesto puntaje CVSS de 7.0 se puede atribuir a su complejidad y su requisito de acceso local existente a una máquina de destino).
Microsoft arregló CVE-2024-38106 el 13 de agosto, menos de una semana antes de que se descubriera esta última actividad de aguanieve citrino. También parece que recientemente fue explotado por un actor de amenazas completamente diferente.
Paso 3: ¿Un beneficio?
«La cadena de ataque va desde comprometer directamente un proceso de renderizado de Chrome en el espacio aislado hasta comprometer el kernel de Windows en lugar de apuntar al proceso del navegador Chrome», dice Lionel Litty, arquitecto jefe de seguridad de Menlo Security. “Esto significa que hay muy pocas posibilidades de detectar un problema utilizando herramientas que observan el comportamiento de la aplicación Chrome. »
Y añade: “Una vez en el núcleo, el atacante está en pie de igualdad con las herramientas de seguridad del endpoint, o incluso puede tener ventaja, y detectarlas se vuelve muy difícil. »
Como parte de su escalada de privilegios, Citrine Sleet implementar FudModuleun rootkit que comparte con su homólogo APT Diamond Sleet. FudModule utiliza técnicas de manipulación directa de objetos del kernel (DKOM) para mejorar los controles de seguridad del kernel y se ha mejorado en al menos dos casos notables desde que se descubrió por primera vez hace tres años. A principios de este año, por ejemplo, los investigadores de Avast notaron su nueva capacidad para interrumpir procesos livianos protegidos (LPP) en Microsoft Defender, Crowdstrike Falcon y HitmanPro.
Después de llegar a los rincones más profundos de un sistema objetivo, Citrine Sleet suele implementar su troyano AppleJeus. AppleJeus está diseñado para recuperar la información necesaria para robar las criptomonedas y los activos relacionados con las criptomonedas de una víctima.
Aún así, “la ejecución remota de código en Chrome cuesta más de 100.000 dólares (150.000 dólares para ser precisos) en algunos mercados negros”, señala Michal Salát, director de inteligencia de amenazas de Avast. “La cantidad de dinero que Lazarus gasta en estas hazañas es bastante significativa. La pregunta que nos hacemos aquí es: ¿hasta qué punto es viable para ellos esta solución? »
