卡巴斯基全球研究與分析團隊(GReAT) 週三透露,臭名昭著的朝鮮Lazarus 高級持續威脅(APT) 組織通過虛假的去中心化金融(DeFi) 遊戲,利用現已修補的Google Chrome 零日漏洞安裝間諜軟體並竊取資訊。
2024 年 5 月 13 日,卡巴斯基專家發現了一場始於 2024 年 2 月的惡意活動,此前他們在俄羅斯的一台客戶電腦上發現了「Manuscrypt」後門惡意軟體的新變種。
Lazarus 至少從 2013 年起就一直在使用 Manuscrypt 惡意軟體,並且已在針對各個行業的 50 多個獨特活動中使用。
卡巴斯基發現的複雜惡意活動在很大程度上依賴社會工程技術和生成式人工智慧來針對加密貨幣投資者。
卡巴斯基研究人員發現威脅行為者利用了兩個漏洞,其中一個被追蹤為CVE-2024-4947,Google Chrome 的 V8 瀏覽器引擎中存在一個先前未知的零日漏洞,該漏洞允許遠端攻擊者透過精心設計的 HTML 頁面在沙箱內執行任意程式碼。
在卡巴斯基向該公司報告漏洞後,Google於 2024 年 5 月 25 日透過 Chrome 版本 125.0.6422.60/.61 修復了漏洞。
此外,第二個漏洞允許攻擊者繞過 Google Chrome 的 V8 沙箱保護。 Google 於 2024 年 3 月修復了沙箱繞過漏洞。
在他們的活動中,威脅行為者利用了 Google Chrome 網路瀏覽器,該瀏覽器源自網站「detankzone[.]com」。
卡巴斯基研究人員表示:「從表面上看,該網站類似於一個為去中心化金融(DeFi)、基於NFT(不可替代代幣)的多人線上競技場(MOBA)坦克遊戲而專業設計的產品頁面,邀請使用者下載試用版。說。
「但這只是一種偽裝。在幕後,該網站有一個隱藏腳本,在用戶的 Google Chrome 瀏覽器中運行,啟動零日漏洞並讓攻擊者完全控制受害者的 PC。只要訪問該網站就會被感染——遊戲只是一種幹擾。
卡巴斯基發現,攻擊者使用合法的 NFT 遊戲——DeFiTankLand(DFTL)——作為假遊戲的原型,並保持其設計與原始遊戲非常相似。為了無縫地維持幻覺,假遊戲是使用竊取的原始碼開發的;然而,徽標和參考資料與原始版本相比發生了變化。
研究人員還補充說,攻擊者聯繫了加密貨幣領域有影響力的人物,讓他們宣傳他們的惡意網站;他們的加密錢包也可能受到損害。
2024 年 2 月 20 日,攻擊者開始了他們的活動,並開始在 X 上宣傳他們的坦克遊戲,隨後價值 20,000 美元的 DFTL2 代幣從 DeFiTankLand 錢包的開發商處被盜。
儘管專案開發人員將這次洩漏歸咎於內部人員,但卡巴斯基認為 Lazarus 組織是這次攻擊的幕後黑手。
「雖然我們以前見過 APT 攻擊者追求經濟利益,但這次活動是獨一無二的。攻擊者超越了典型的策略,使用功能齊全的遊戲作為掩護,利用 Google Chrome 零日漏洞並感染目標系統。對於像 Lazarus 這樣臭名昭著的行為者,即使是看似無害的行為(例如點擊社交網路或電子郵件中的連結)也可能導致個人電腦或整個公司網路的完全受損。在這次活動中投入的巨大努力表明他們有雄心勃勃的計劃,實際影響可能更廣泛,可能影響全世界的用戶和企業,」拉林評論道。
![Facebook 鎖定個人資料未顯示? [ 固定的 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2024/10/Lock-Profile.jpg)
![21 個最佳韓劇網站:2024 年免費觀看韓劇 [英文字幕]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2018/12/Websites-to-download-Korean-Dramas-For-Free.jpg)
