Un recente difetto di sicurezza riscontrato in Google Chrome e altri browser basati su Chromium è stato sfruttato come zero-day da attori nordcoreani in una campagna volta a distribuire il rootkit FudModule. Questo sviluppo indica gli sforzi persistenti compiuti dagli avversari statali, che negli ultimi mesi hanno incorporato numerosi exploit zero-day di Windows nel loro arsenale.
Microsoft, che ha rilevato l'attività il 19 agosto 2024, l'ha attribuita a un attore di minacce noto come Citrine Sleet (precedentemente DEV-0139 e DEV-1222), noto anche come AppleJeus, Labyrinth Chollima, Nickel Academy e UNC4736. Questo attore è considerato un sottogruppo del Lazarus Group (anche noto come Diamond Sleet e Hidden Cobra). Vale la pena menzionare che l'uso del malware AppleJeus è stato precedentemente attribuito da Kaspersky a un altro sottogruppo di Lazarus chiamato BlueNoroff (anche noto come APT38, Nickel Gladstone e Stardust Chollima), a indicare la condivisione di infrastrutture e strumenti tra questi attori di minacce.
Citrine Sleet è basato in Corea del Nord e mira principalmente a istituzioni finanziarie, in particolare organizzazioni e individui che gestiscono criptovalute, per ottenere guadagni finanziari. Come parte delle sue tattiche di ingegneria sociale, Citrine Sleet ha condotto un'ampia ricognizione dell'industria delle criptovalute e degli individui ad essa associati. Le catene di attacco tipicamente coinvolgono la creazione di siti web falsi che si spacciano per piattaforme di trading di criptovalute legittime, con l'intento di ingannare gli utenti affinché installino portafogli di criptovalute o applicazioni di trading compromesse che facilitano il furto di risorse digitali.
L'attacco zero-day osservato da Citrine Sleet ha coinvolto lo sfruttamento della vulnerabilità CVE-2024-7971, un difetto di tipo confusion ad alta gravità nel motore JavaScript e WebAssembly V8 che potrebbe permettere agli attori della minaccia di ottenere l'esecuzione di codice remoto (RCE) nel processo del renderer sandboxed di Chromium. Google ha corretto questo difetto nell'ambito degli aggiornamenti rilasciati la scorsa settimana. CVE-2024-7971 è il terzo bug di tipo confusion attivamente sfruttato in V8 che Google ha risolto quest'anno dopo CVE-2024-4947 e CVE-2024-5274.
Non è ancora chiaro quanto fossero diffusi questi attacchi o chi fosse stato preso di mira, ma si dice che le vittime siano state indirizzate a un sito web dannoso chiamato voyagorclub[.]space, probabilmente attraverso tecniche di ingegneria sociale, innescando così un exploit per CVE-2024-7971. L'exploit RCE apre la strada al recupero di shellcode contenente un exploit di fuga dal sandbox di Windows (CVE-2024-38106) e il rootkit FudModule, che viene utilizzato per "stabilire l'accesso admin-to-kernel ai sistemi basati su Windows per consentire funzioni primitive di lettura/scrittura e eseguire [manipolazione diretta degli oggetti del kernel]."
CVE-2024-38106, un bug di escalation dei privilegi del kernel di Windows, è una delle sei vulnerabilità di sicurezza attivamente sfruttate che Microsoft ha risolto come parte del suo aggiornamento Patch Tuesday di agosto 2024. Tuttavia, è stato riscontrato che lo sfruttamento della vulnerabilità legata a Citrine Sleet è avvenuto dopo che la correzione era stata rilasciata. Questo potrebbe suggerire una "collisione di bug", dove la stessa vulnerabilità viene scoperta indipendentemente da attori di minacce separati, o la conoscenza della vulnerabilità è stata condivisa da un ricercatore a più attori.
CVE-2024-7971 è anche la terza vulnerabilità che gli attori di minacce nordcoreani hanno sfruttato quest'anno per distribuire il rootkit FudModule, dopo CVE-2024-21338 e CVE-2024-38193, entrambi difetti di escalation dei privilegi in due driver integrati di Windows (appid.sys e AFD.sys) corretti da Microsoft a febbraio e agosto.