31 de agosto de 2024Ravie LakshmananRootkit / Inteligencia de amenazas Una falla de seguridad recientemente parcheada en Google Chrome y otros navegadores web Chromium fue explotada como un día cero por actores norcoreanos en una campaña diseñada para distribuir el rootkit FudModule. El desarrollo es indicativo de los esfuerzos persistentes realizados por el adversario del estado-nación, que se había acostumbrado a incorporar una serie de exploits de día cero de Windows en su arsenal en los últimos meses. Microsoft, que detectó la actividad el 19 de agosto de 2024, la atribuyó a un actor de amenazas que rastrea como Citrine Sleet (anteriormente DEV-0139 y DEV-1222), que también se conoce como AppleJeus, Labyrinth Chollima, Nickel Academy y UNC4736. Se evalúa que es un subgrupo dentro del Grupo Lazarus (también conocido como Diamond Sleet y Hidden Cobra). Cabe mencionar que Kaspersky también ha atribuido anteriormente el uso del malware AppleJeus a otro subgrupo de Lazarus llamado BlueNoroff (también conocido como APT38, Nickel Gladstone y Stardust Chollima), lo que indica que estos actores de amenazas comparten infraestructura y conjuntos de herramientas. «Citrine Sleet tiene su base en Corea del Norte y se dirige principalmente a instituciones financieras, en particular organizaciones e individuos que administran criptomonedas, para obtener ganancias financieras», dijo el equipo de Inteligencia de Amenazas de Microsoft. «Como parte de sus tácticas de ingeniería social, Citrine Sleet ha realizado un reconocimiento exhaustivo de la industria de las criptomonedas y de las personas asociadas con ella». Las cadenas de ataque generalmente implican la creación de sitios web falsos que se hacen pasar por plataformas legítimas de comercio de criptomonedas que buscan engañar a los usuarios para que instalen billeteras de criptomonedas armadas o aplicaciones comerciales que faciliten el robo de activos digitales. El ataque de día cero observado por Citrine Sleet implicó la explotación de CVE-2024-7971, una vulnerabilidad de confusión de tipos de alta gravedad en el motor de JavaScript y WebAssembly V8 que podría permitir a los actores de amenazas obtener ejecución remota de código (RCE) en el proceso de renderizado de Chromium en un entorno aislado. Google lo parchó como parte de las actualizaciones publicadas la semana pasada. Como se indicó anteriormente en The Hacker News, CVE-2024-7971 es el tercer error de confusión de tipos explotado activamente en V8 que Google resolvió este año después de CVE-2024-4947 y CVE-2024-5274. Actualmente no está claro cuán generalizados fueron estos ataques ni a quiénes se dirigieron, pero se dice que las víctimas fueron dirigidas a un sitio web malicioso llamado voyagorclub[.]El espacio probablemente se utilice a través de técnicas de ingeniería social, lo que activa un exploit para CVE-2024-7971. El exploit RCE, por su parte, allana el camino para la recuperación del código shell que contiene un exploit de escape de sandbox de Windows (CVE-2024-38106) y el rootkit FudModule, que se utiliza para establecer acceso de administrador a kernel en sistemas basados ​​en Windows para permitir funciones primitivas de lectura/escritura y realizar [direct kernel object manipulation]. » CVE-2024-38106, un error de escalada de privilegios del kernel de Windows, es una de las seis fallas de seguridad explotadas activamente que Microsoft remedió como parte de su actualización del martes de parches de agosto de 2024. Dicho esto, se ha descubierto que la explotación de la falla vinculada a Citrine Sleet ocurrió después de que se lanzó la corrección. «Esto puede sugerir una ‘colisión de errores’, donde la misma vulnerabilidad es descubierta de forma independiente por actores de amenazas separados, o el conocimiento de la vulnerabilidad fue compartido por un investigador de vulnerabilidades a múltiples actores», dijo Microsoft. CVE-2024-7971 es también la tercera vulnerabilidad que los actores de amenazas norcoreanos han aprovechado este año para eliminar el rootkit FudModule, después de CVE-2024-21338 y CVE-2024-38193, que son fallas de escalada de privilegios en los controladores integrados de Windows y fueron corregidas por Microsoft en febrero y agosto. «La cadena de explotación CVE-2024-7971 se basa en múltiples componentes para comprometer un objetivo, «Y esta cadena de ataque falla si se bloquea alguno de estos componentes, incluido CVE-2024-38106», afirmó la empresa. «Los exploits de día cero requieren no solo mantener los sistemas actualizados, sino también soluciones de seguridad que brinden visibilidad unificada en toda la cadena de ciberataque para detectar y bloquear las herramientas de los atacantes posteriores al compromiso y la actividad maliciosa posterior a la explotación». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.