Lazarus Hackers利用Google Chrome脆弱性感染设备

卡巴斯基（Kaspersky）的全球研究与分析团队（GREAT）周三透露，臭名昭著的北朝鲜拉扎鲁斯（Lazarus）先进的持久威胁（APT）小组通过伪造的分散融资（DEFI）游戏来剥削现已发现的Google Chrome Zero-Day日脆弱性（DEFI）游戏，以安装间谍软件并偷走了钱包。

2024年5月13日，卡巴斯基专家发现了一场恶意运动，该活动始于2024年2月，因为他们在其俄罗斯的一台客户的计算机上确定了“ Manuscrypt”后门恶意软件的新变体。

Lazarus至少自2013年以来一直在使用Manuscrypt恶意软件，并且已用于针对各种行业的50多个独特的广告系列。

卡巴斯基（Kaspersky）发现的复杂恶意运动依赖于社会工程技术和生成性AI，以针对加密货币投资者。

卡巴斯基研究人员发现，威胁行为者利用了两个漏洞，其中一个被追踪为CVE-2024-4947，Google Chrome的V8浏览器引擎中以前未知的零日错误，允许远程攻击者通过精心设计的HTML页面在沙箱内执行任意代码。

该漏洞由Google于2024年5月25日修复，Chrome版本为125.0.6422.60/.61，在Kaspersky报告了该公司的缺陷之后。

此外，第二个漏洞使攻击者绕过Google Chrome的V8沙盒保护。 Google在2024年3月修补了沙盒旁路漏洞。

对于他们的竞选活动，威胁参与者利用了Google Chrome Web浏览器，该网站源自网站“ detankzone [。] com。

“从表面上看，该网站类似于专业设计的产品页面，用于分散的金融（DEFI）基于NFT的（非杀菌令牌）多人游戏在线战斗Arena（MOBA）坦克游戏，邀请用户下载试用版，” Kaspersky Researchers研究人员Boris Larin和Vasily Berdnikily Berdnikov说。

“但这只是一个伪装。在引擎盖下，该网站上有一个隐藏的脚本，该脚本在用户的Google Chrome浏览器中运行，启动了零日的利用，并使攻击者完全控制了受害者的PC。访问该网站就是被感染的全部 - 游戏只是一个分心。”

卡巴斯基（Kaspersky）发现，攻击者使用了合法的NFT游戏（DFTL），作为假游戏的原型，并保持其设计与原件非常相似。为了无缝保持幻觉，使用被盗的源代码开发了假游戏；但是，徽标和参考已从原始版本更改。

研究人员还补充说，攻击者联系了加密货币空间中有影响力的人物，以使他们宣传其恶意网站。他们的加密钱包也可能受到妥协。

2024年2月20日，攻击者开始了竞选活动，并开始在X上宣传他们的坦克游戏，然后加密货币从Defitankland的Wallet的开发商中偷走了价值20,000美元的DFTL2硬币。

尽管该项目开发人员指责违规行为的内部人士，但卡巴斯基认为拉撒路集团是袭击的幕后黑手。

“尽管我们以前曾见过APT演员追求经济利益，但这项运动是独一无二的。攻击者通过使用功能齐全的游戏来利用Google Chrome零日和感染目标系统来超越典型策略。凭借拉撒路这样的臭名昭著的演员，即使是在社交网络或电子邮件中单击链接，也可以使个人计算机或整个公司网络完全妥协。在这项运动上投入的巨大努力表明他们制定了雄心勃勃的计划，实际影响可能会更广泛，可能会影响全球的用户和企业。”拉林说。