5月15日Google發布Chrome 125更新(125.0.6422.60、61),修補零時差漏洞CVE-2024-4947,通報此弱點的資安業者卡巴斯基表示,當時他們看到北韓駭客組織Lazarus假借提供電玩遊戲的名義,並利用這項漏洞企圖控制受害者的電腦。
這起攻擊行動之所以曝光,起初是在5月13日,該廠牌防毒軟體在俄羅斯個人用戶的電腦,偵測到後門程式Manuscrypt感染的情況,由於使用該惡意程式的Lazarus鮮少針對個人用戶下手,這樣的情況引起研究人員的注意,進一步調查發現,detankzone[.]com網站利用瀏覽器弱點發動攻擊。
基本上,這個網站看起來像是介紹多人線上競技(MOBA)的坦克電玩遊戲DeTankZone,該遊戲號稱以去中心化金融(De-Fi)及非同質化代幣(NFT)為基礎開發而成,該網站亦提供試用版下載。但研究人員指出,這其實是障眼法,駭客在網站後臺埋藏指令碼,一旦使用者透過Chrome存取就會觸發漏洞,攻擊者可藉此完全控制連入此網站的電腦。
研究人員進一步指出,攻擊者架設的網站以TypeScript及React打造而成,他們將漏洞利用程式碼埋在名為index.tsx的檔案,但值得留意的是,這些程式碼不光利用CVE-2024-4947,還運用另一個近期才揭露的V8沙箱弱點。
形成CVE-2024-4947漏洞的原因,在於Google去年底推出的Chrome 117,納入即時(JIT)編譯器Maglev,該元件能根據解譯器(Interpreter)回饋的內容進行最佳化,快速產生品質較好的程式碼,但Maglev由於具有這項弱點而釀禍。
簡而言之,攻擊者的指令碼濫用Maglev、破壞Chrome使用的記憶體位址,並覆蓋該處理程序占用的區域,從而存取Cookie、Token、儲存的密碼,以及上網記錄。
他們也發現這些駭客藉由人工智慧技術,產生幾可亂真的資料在社群網站X進行宣傳,並聯繫加密貨幣領域的有力人士,請他們協助宣傳。此外,這些駭客也透過專業設計網站、LinkedIn付費帳號,以及釣魚郵件從事相關活動。
值得留意的是,這款遊戲確實能實際正常安裝,並具有實際登入畫面,但無法註冊帳號或是登入。研究人員發現,駭客很可能是竄改名為DeFiTankLand(DFTL)的遊戲製作而成。因為攻擊者於2月20日開始宣傳,3月2日DFTL傳出有開發者從其中1個冷錢包偷走2萬美元DFTL2加密貨幣,所以,研究人員根據這些跡象推測:Lazarus先是偷走了原始碼,再洗劫冷錢包。
研究人員指出,雖然他們向Google通報後遵循漏洞揭露政策,當時並未公開具體細節,讓用戶能有更多時間套用修補程式,然而,這起事故其實在5月底就已露出端倪,因為當時微軟公布北韓駭客組織Moonstone Sleet的勒索軟體攻擊行動,當中恰巧提及此事部分攻擊過程。
根據微軟那時的描述,也可印證漏洞攻擊事件的經過。他們表示,駭客從2月開始,利用假的遊戲開發公司為幌子,以尋求投資者及開發人員支持為由發動網釣攻擊,導致電腦被植入惡意程式;攻擊者在4月對其中一家遭駭的公司植入勒索軟體FakePenny,並索討660萬美元比特幣。
熱門新聞
2024-10-22
2024-10-21
2024-10-20
2024-10-20
