北韓駭客駭入Chromium漏洞植入rootkit程式Fudmodule

微軟研究人員發現，北韓駭客組織濫用Chromium漏洞，以便在Windows PC核心植入惡意程式Fudmodule以竊取加密貨幣。

微軟威脅情報小組暨微軟安全回應中心在8月19日發現，北韓駭客濫用當時尚未發現的Chromium漏洞執執行遠端程式碼執行（remote code execution，RCE）。該漏洞後被命名為CVE-2024-7971。微軟分析，這次攻擊背後是名為Citrine Sleet的北韓駭客組織，他們在受害Windows PC核心植入rootkit程式FudModule。

CVE-2024-7971為存在Chromium V8 JavaScript及WebAssembly引擎的型態混淆漏洞，成功濫用可讓攻擊者在沙箱環境中的Chromium。受影響的是128.0.6613.84以前版本，Google已經在2024年8月21日釋出新版修補。CVE-2024-7971也是繼CVE-2024-4947和CVE-2024-5274後今年第三個V8型態混淆漏洞。

Citrine Sleet又被稱為AppleJeus、Labyrinth Chollima、UNC4736和Hidden Cobra。過去這個組織經常鎖定管理加密貨幣的金融機構或個人以獲取財務利益。而在這次行動中，研究人員相信Citrine Sleet是透過社交工程誘騙用戶點選釣魚網站，當受害者連到惡意網域時，濫用CVE-2024-7971對沙箱環境的Chromium執行RCE，之後並在Windows記憶體中下載包含Windows沙箱逃逸（sandbox escape）攻擊程式及FudModule rootkit的shellcode。

這個Windows沙箱逃逸攻擊程式則另外濫用了另一個零時差Windows權限擴張漏洞CVE-2024-38106。一旦成功，FudModule rootkit即被載入Windows核心，利用直接核心物件操弄（direct kernel object manipulation，DKOM）手法，擾亂核心安全機制、從user mode執行指令，以及透過核心讀寫原語（primitive）執行核心竄改活動。微軟推測，Citrine Sleet這波攻擊也是意在竊取加密貨幣。

值得一提的是，CVE-2024-38106是由北韓駭客組織Diamond Sleet發現且首先濫用。但微軟之前研究發現Citrine Sleet和Diamond Sleet曾共用某些基礎架構和工具，因此微軟推測，Diamond Sleet和Citrine Sleet可能共用了關於CVE-2024-38106的知識。

FudModule rootkit已多次在北韓駭客攻擊中使用。例如2022年9月ESET及AhnLAb研究人員觀察到駭客濫用CVE-2021-21551 Dell驅動程式漏洞植入FudModule變種，今年2月Avast研究人員也發現Windows AppLocker驅動程式漏洞（CVE-2024-21338）濫用。8月Gen Digital發現Winsock驅動程式漏洞CVE-2024-38193被Lazarus濫用後都被植入這個rootkit變種。

CVE-2024-21338及CVE-2024-38106、CVE-2024-38193分別由微軟在2月及8月Patch Tuesday中修補。