Google Chrome erhielt kürzlich einen Patch für eine Sicherheitslücke, die auf Kryptowährungsplattformen abzielte. Die Sicherheitslücke wurde als Zero-Day-Lücke eingestuft, was bedeutet, dass sie eine Zeit lang ohne das Wissen des Unternehmens existierte. Nun ist bekannt, dass nordkoreanische Hacker die Zero-Day-Lücke von Chrome ausnutzten, um Malware und ein Rootkit einzuschleusen.
Die Sicherheitslücke betraf sowohl Chrome als auch Chromium-basierte Browser von Drittanbietern wie Edge. Microsoft hat daher in einem Blogbeitrag genauere Details bereitgestellt. CVE-2024-7971, die verfolgte Sicherheitslücke, zielt darauf ab, Code aus der Ferne auszuführen und das FudModule-Rootkit auf dem Gerät des Opfers zu installieren. Die Angreifer nutzten auch CVE-2024-38106, eine Sicherheitslücke im Windows-Kernel, aus, um SYSTEM-Berechtigungen zu erlangen. Microsoft hat diese Sicherheitslücke kürzlich ebenfalls gepatcht.
Nordkoreanische Hacker nutzten die Zero-Day-Sicherheitslücke von Chrome aus, bevor sie entdeckt wurde
Ein Zero-Day ist eine Schwachstelle, die dem Softwareentwickler nicht bekannt ist. Daher könnten böswillige Dritte sie ausnutzen, da es noch keinen offiziellen Patch gibt. Der Name „Zero-Day“ kommt von der Tatsache, dass der Entwickler null Tage Zeit hat, die Schwachstelle zu beheben, sobald sie entdeckt wird, da sie möglicherweise bereits ausgenutzt wird. Im Fall von Chromium war die betroffene Komponente V8, die JavaScript-Codeausführungs-Engine des Browsers.
Die V8-Engine von Chromium war anfällig für Angriffe, die auf Typverwirrung basieren. Laut MITRE „ordnet diese Art von Angriff eine Ressource wie einen Zeiger, ein Objekt oder eine Variable mit einem Typ zu oder initialisiert sie, greift aber später mit einem Typ auf diese Ressource zu, der mit dem ursprünglichen Typ inkompatibel ist.“ Angriffe auf Basis von Verwirrung können „logische Fehler auslösen, weil die Ressource nicht die erwarteten Eigenschaften hat“, was zu einem Speicherzugriff außerhalb der Grenzen führt. Danach könnten Angreifer eine Remotecodeausführung im Browser erreichen, die sie ausnutzten, um den Benutzer auf die bösartige Website voyagorclub(.)space umzuleiten.
An diesem Punkt versuchen die Angreifer, einen Exploit zu installieren, der auf die oben erwähnte Windows-Sicherheitslücke CVE-2024-38106 abzielt. Wenn der Angriff erfolgreich war, hätten die Angreifer SYSTEM-Berechtigungen erlangen können, was keine gute Nachricht ist. Die Hacker verfügten sogar über fortgeschrittene Methoden, um Sicherheitsvorkehrungen auf Kernel-Ebene zu umgehen. Sie injizierten das FudModule-Rootkit, mit dem sie in den Kernel schreiben und ihn nach Belieben manipulieren können. FudModule-basierte Angriffe werden als DKOM-Operationen (Direct Kernel Object Manipulation) bezeichnet.
Microsoft macht südkoreanischen Konzern Citrine Sleet verantwortlich
Laut Microsoft nutzte die nordkoreanische Hackergruppe Citrine Sleet die Kombination aus Chrome- und Windows-Sicherheitslücken aus. Der Riese aus Redmond sagt, dass die Gruppe „hauptsächlich Finanzinstitute, insbesondere Organisationen und Einzelpersonen, die Kryptowährungen verwalten, zum finanziellen Vorteil ins Visier nimmt“. Ähnliche Gruppen verwenden häufig Angriffsmethoden wie das Klonen von Plattformen oder das Trojanisieren von Pop-uk-Software. Sie infizierten sogar X_TRADER, eine beliebte Software zur Automatisierung des Aktienhandels, nachdem sie deren offizielle Website „gekapert“ hatten.
Es ist bemerkenswert, dass andere Anbieter von Cybersicherheit diese Angriffe unter Namen wie AppleJeus, Labyrinth Chollima und UNC4736 verfolgen. Dies deutet darauf hin, dass es sich zwar um unterschiedliche Gruppen handelt, sie aber alle Technologien und Methoden gemeinsam nutzen. Es sollte unmöglich sein, den „Trick“ der Hacker jetzt anzuwenden. Es wäre jedoch interessant zu wissen, wie viele Plattformen ähnlichen Angriffen zum Opfer fielen. Da das FudModule-Rootkit erstmals im Jahr 2022 entdeckt wurde, ist es möglich, dass Hacker die Methode seit mindestens zwei Jahren ausnutzen.
