Lazarus 黑客利用 Google Chrome 漏洞感染設備

卡巴斯基全球研究與分析團隊 (GReAT) 週三透露，臭名昭著的朝鮮 Lazarus 高級持續威脅 (APT) 組織通過虛假的去中心化金融 (DeFi) 遊戲，利用現已修補的 Google Chrome 零日漏洞來安裝間諜軟件並竊取錢包憑證。

2024 年 5 月 13 日，卡巴斯基專家發現了一場始於 2024 年 2 月的惡意活動，此前他們在俄羅斯的一台客戶計算機上發現了“Manuscrypt”後門惡意軟件的新變種。

Lazarus 至少從 2013 年起就一直在使用 Manuscrypt 惡意軟件，它已被用於針對不同行業的 50 多個獨特活動中。

卡巴斯基發現的複雜惡意活動在很大程度上依賴於社會工程技術和生成式人工智能來針對加密貨幣投資者。

卡巴斯基研究人員發現威脅行為者利用了兩個漏洞，其中一個被追踪為CVE-2024-4947，Google Chrome 的 V8 瀏覽器引擎中存在一個先前未知的零日漏洞，該漏洞允許遠程攻擊者通過精心設計的 HTML 頁面在沙箱內執行任意代碼。

在卡巴斯基向該公司報告該漏洞後，谷歌於 2024 年 5 月 25 日通過 Chrome 版本 125.0.6422.60/.61 修復了該漏洞。

此外，第二個漏洞允許攻擊者繞過 Google Chrome 的 V8 沙箱保護。 Google 於 2024 年 3 月修復了沙箱繞過漏洞。

在他們的活動中，威脅行為者利用了 Google Chrome 網絡瀏覽器，該瀏覽器源自網站“detankzone[.]com”。

卡巴斯基研究人員 Boris Larin 和 Vasily Berdnikov 表示：“從表面上看，該網站類似於一個為去中心化金融（DeFi）基於 NFT（不可替代代幣）的多人在線競技場（MOBA）坦克遊戲專業設計的產品頁面，邀請用戶下載試用版。”說。

“但這只是一種偽裝。在幕後，該網站有​​一個隱藏腳本，在用戶的 Google Chrome 瀏覽器中運行，啟動零日漏洞並讓攻擊者完全控制受害者的 PC。只要訪問該網站就會被感染，而遊戲只是一種干擾。”

卡巴斯基發現，攻擊者使用合法的 NFT 遊戲——DeFiTankLand（DFTL）——作為假遊戲的原型，並保持其設計與原始遊戲非常相似。為了無縫地維持幻覺，假遊戲是使用竊取的源代碼開發的；然而，徽標和參考資料與原始版本相比發生了變化。

研究人員還補充說，攻擊者聯繫了加密貨幣領域有影響力的人物，讓他們宣傳他們的惡意網站；他們的加密錢包也可能受到損害。

2024 年 2 月 20 日，攻擊者開始了他們的活動，並開始在 X 上宣傳他們的坦克遊戲，隨後價值 20,000 美元的 DFTL2 代幣從 DeFiTankLand 錢包的開發商處被盜。

儘管項目開發人員將此次洩露歸咎於內部人員，但卡巴斯基認為 Lazarus 組織是此次攻擊的幕後黑手。

“雖然我們以前見過 APT 攻擊者追求經濟利益，但這次活動是獨一無二的。攻擊者超越了典型的策略，使用功能齊全的遊戲作為掩護，利用 Google Chrome 零日漏洞並感染目標系統。對於像 Lazarus 這樣臭名昭著的攻擊者，即使是看似無害的行為（例如點擊社交網絡或電子郵件中的鏈接）也可能導致個人計算機或整個公司網絡的完全受損。在這次活動中投入的大量精力表明他們有雄心勃勃的計劃，實際影響可能是更廣泛，可能影響全世界的用戶和企業，”拉林評論道。