Lazarus APT и связанная с ней группа BlueNoroff - это высококвалифицированные и разноплановые злоумышленники, которые говорят на корейском языке. Наблюдения за их деятельностью показали, что они часто используют вредоносное ПО с названием Manuscrypt в своих атаках. Это полнофункциональный бэкдор, который они используют, по крайней мере, с 2013 года. Было зафиксировано более 50 уникальных кампаний, направленных на правительства, дипломатические структуры, финансовые учреждения, военных и оборонных подрядчиков, криптовалютные платформы, операторов IT и телекоммуникаций, игровые компании, СМИ, казино, университеты и даже исследователей безопасности.
Lazarus APT
В мае 2024 года продукт потребительского класса Kaspersky Total Security обнаружил новую инфекцию Manuscrypt на персональном компьютере российского частного лица. Это необычно, так как Lazarus редко атакует частных лиц, поэтому исследователи решили исследовать эту ситуацию. Они обнаружили, что перед обнаружением Manuscrypt их технологии также фиксировали эксплуатацию браузера Google Chrome с сайта detankzone[.]com. Этот сайт выглядел как страница продукта игры NFT-игры DeFi (децентрализованная финансовая игра), но на самом деле он содержал скрытый скрипт, который запускал эксплойт нулевого дня и давал злоумышленникам полный контроль над компьютером жертвы.
Удалось извлечь первый этап атаки - эксплойт, который позволял удаленно выполнять код в процессе Google Chrome. Уязвимость нулевого дня, нацеленная на последнюю версию Chrome, была обнаружена, и исследователи сообщили об этом Google. В течение двух дней Google выпустила обновление, чтобы закрыть эту уязвимость, и поблагодарила исследователей за их обнаружение. Исследователи также сообщили о своих находках Microsoft.
Хотя была просьба Google ограничить раскрытие информации об уязвимости, 28 мая 2024 года Microsoft опубликовала сообщение в своем блоге, где раскрыли некоторые из выводов, связанных с этой кампанией. Однако они игнорировали факт использования эксплойта для браузера и его высокой опасности. Исследователи приняли ответственный подход к раскрытию информации и воздержались от публичного раскрытия подробностей, чтобы пользователи могли применить исправления. Google приняла меры, чтобы заблокировать detankzone[.]com и другие связанные сайты, предупредив пользователей о их вредоносном характере.
Детали атаки показали, что сайт, использованный злоумышленниками, был разработан на TypeScript/React и содержал скрытый загрузчик эксплойтов. Эксплойт содержал код для двух уязвимостей: одна позволяла чтение и запись памяти процесса Chrome из JavaScript, а другая была способом обхода песочницы V8. Уязвимость первого типа была обнаружена под названием CVE-2024-4947 и была связана с движком JavaScript V8, который используется в Chrome. Этот движок использует сложный конвейер компиляции JavaScript, который включает интерпретатор Ignition и JIT-компилятор TurboFan. Использование этих уязвимостей позволяло злоумышленникам получить полный контроль над системой пользователя.
Исследователи продолжают следить за деятельностью Lazarus и BlueNoroff, чтобы защитить пользователей от их атак и обнаружить новые уязвимости и методы. Они также продолжают сотрудничать с Google и другими организациями, чтобы обнаружить и устранить подобные угрозы.
Indicators of Compromise
Domains
- ccwaterfall.com
- detankzone.com
MD5
- 8312e556c4eec999204368d69ba91bf4
- b2dc7aec2c6d2ffa28219ac288e4750c
SHA1
- 7f28ad5ee9966410b15ca85b7facb70088a17c5f
- e5da4ab6366c5690dfd1bb386c7fe0c78f6ed54f
SHA256
- 59a37d7d2bf4cffe31407edd286a811d9600b68fe757829e30da4394ab65a4cc
- 7353ab9670133468081305bd442f7691cf2f2c1136f09d9508400546c417833a
