卡巴斯基全球研究与分析团队 (GReAT) 周三透露,臭名昭著的朝鲜 Lazarus 高级持续威胁 (APT) 组织通过虚假的去中心化金融 (DeFi) 游戏,利用现已修补的 Google Chrome 零日漏洞来安装间谍软件并窃取钱包凭证。
2024 年 5 月 13 日,卡巴斯基专家发现了一场始于 2024 年 2 月的恶意活动,此前他们在俄罗斯的一台客户计算机上发现了“Manuscrypt”后门恶意软件的新变种。
Lazarus 至少从 2013 年起就一直在使用 Manuscrypt 恶意软件,它已被用于针对不同行业的 50 多个独特活动中。
卡巴斯基发现的复杂恶意活动在很大程度上依赖于社会工程技术和生成式人工智能来针对加密货币投资者。
卡巴斯基研究人员发现威胁行为者利用了两个漏洞,其中一个被追踪为CVE-2024-4947,Google Chrome 的 V8 浏览器引擎中存在一个先前未知的零日漏洞,该漏洞允许远程攻击者通过精心设计的 HTML 页面在沙箱内执行任意代码。
在卡巴斯基向该公司报告该漏洞后,谷歌于 2024 年 5 月 25 日通过 Chrome 版本 125.0.6422.60/.61 修复了该漏洞。
此外,第二个漏洞允许攻击者绕过 Google Chrome 的 V8 沙箱保护。 Google 于 2024 年 3 月修复了沙箱绕过漏洞。
在他们的活动中,威胁行为者利用了 Google Chrome 网络浏览器,该浏览器源自网站“detankzone[.]com”。
卡巴斯基研究人员 Boris Larin 和 Vasily Berdnikov 表示:“从表面上看,该网站类似于一个为去中心化金融(DeFi)基于 NFT(不可替代代币)的多人在线竞技场(MOBA)坦克游戏专业设计的产品页面,邀请用户下载试用版。”说。
“但这只是一种伪装。在幕后,该网站有一个隐藏脚本,在用户的 Google Chrome 浏览器中运行,启动零日漏洞并让攻击者完全控制受害者的 PC。只要访问该网站就会被感染,而游戏只是一种干扰。”
卡巴斯基发现,攻击者使用合法的 NFT 游戏——DeFiTankLand(DFTL)——作为假游戏的原型,并保持其设计与原始游戏非常相似。为了无缝地维持幻觉,假游戏是使用窃取的源代码开发的;然而,徽标和参考资料与原始版本相比发生了变化。
研究人员还补充说,攻击者联系了加密货币领域有影响力的人物,让他们宣传他们的恶意网站;他们的加密钱包也可能受到损害。
2024 年 2 月 20 日,攻击者开始了他们的活动,并开始在 X 上宣传他们的坦克游戏,随后价值 20,000 美元的 DFTL2 代币从 DeFiTankLand 钱包的开发商处被盗。
尽管项目开发人员将此次泄露归咎于内部人员,但卡巴斯基认为 Lazarus 组织是此次攻击的幕后黑手。
“虽然我们以前见过 APT 攻击者追求经济利益,但这次活动是独一无二的。攻击者超越了典型的策略,使用功能齐全的游戏作为掩护,利用 Google Chrome 零日漏洞并感染目标系统。对于像 Lazarus 这样臭名昭著的攻击者,即使是看似无害的行为(例如点击社交网络或电子邮件中的链接)也可能导致个人计算机或整个公司网络的完全受损。在这次活动中投入的大量精力表明他们有雄心勃勃的计划,实际影响可能是更广泛,可能影响全世界的用户和企业,”拉林评论道。
