Peretas Korut Sebar Rootkit FudModule Lewat Celah Zero-Day Chrome

Kerentanan keamanan yang baru-baru ini ditangani di Google Chrome dan browser web Chromium lainnya telah dieksploitasi sebagai zero-day oleh aktor dari Korea Utara dalam suatu kampanye yang bertujuan untuk menyebarkan rootkit FudModule.

Perkembangan ini mencerminkan upaya berkelanjutan yang dilakukan oleh negara musuh, yang telah menunjukkan kecenderungan untuk mengintegrasikan sejumlah besar eksploitasi zero-day Windows ke dalam gudang senjata mereka dalam beberapa bulan terakhir.

Microsoft, yang mendeteksi aktivitas ini pada 19 Agustus 2024, memicu serangan tersebut dengan ancaman pelaku yang dikenal sebagai Citrine Sleet (sebelumnya DEV-0139 dan DEV-1222), yang juga dikenal dengan nama AppleJeus, Labyrinth Chollima, Nickel Academy, dan UNC4736. Aktivitas ini dianggap sebagai sub-kluster dalam kelompok Lazarus (alias Diamond Sleet dan Hidden Cobra).

Perlu dicatat bahwa penggunaan malware AppleJeus sebelumnya juga dihubungkan oleh Kaspersky dengan subgrup Lazarus yang lain yang disebut BlueNoroff (alias APT38, Nickel Gladstone, dan Stardust Chollima), yang menunjukkan adanya infrastruktur dan alat yang digunakan bersama oleh para aktor ancaman ini.

Menurut tim Intelijen Ancaman Microsoft, "Citrine Sleet berbasis di Korea Utara dan terutama menargetkan lembaga keuangan, terutama organisasi dan individu yang mengelola mata uang kripto, untuk keuntungan finansial."

"Sebagai bagian dari taktik rekayasa sosialnya, Citrine Sleet telah melakukan pengungkapan mendalam terhadap industri mata uang kripto serta individu-individu yang terlibat di dalamnya."

Serangkaian serangan umumnya melibatkan pembuatan situs web palsu yang menyamar sebagai platform perdagangan mata uang kripto yang sah, yang bertujuan untuk menipu pengguna agar menginstal dompet mata uang kripto yang berbahaya atau aplikasi perdagangan yang memfasilitasi pencurian aset digital.

Eksploitasi zero-day yang diamati oleh Citrine Sleet melibatkan eksploitasi CVE-2024-7971, sebuah kerentanan kerentanan tipe dengan tingkat keparahan tinggi di mesin JavaScript dan WebAssembly V8 yang memungkinkan pelaku ancaman untuk memperoleh eksekusi kode jarak jauh (RCE) dalam proses perender Chromium yang dilindungi . Serangan ini telah ditangani oleh Google sebagai bagian dari pembaruan yang dirilis minggu lalu.

Sesuai dengan laporan sebelumnya oleh The Hacker News, CVE-2024-7971 adalah bug ketiga terkait gangguan tipe yang dieksploitasi secara aktif di V8 yang telah diperbaiki oleh Google tahun ini, setelah CVE-2024-4947 dan CVE-2024-5274.

Saat ini, tingkat penyebaran serangan ini masih belum jelas, serta siapa yang menjadi target, meskipun dilaporkan bahwa para korban diarahkan ke situs web berbahaya bernama voyagorclub[.]space, kemungkinan melalui teknik rekayasa sosial, yang memicu eksploitasi untuk CVE-2024-7971.

"Eksploitasi RCE membuka jalan bagi pengambilan shellcode yang berisi eksploitasi eksploitasi sandbox Windows (CVE-2024-38106) dan rootkit FudModule, yang digunakan untuk memberikan akses admin-ke-kernel ke sistem berbasis Windows, memungkinkan fungsi dasar baca/tulis serta manipulasi objek kernel secara langsung."

CVE-2024-38106, yang merupakan bug peningkatan hak istimewa kernel Windows, adalah salah satu dari enam kerentanan keamanan yang dieksploitasi secara aktif dan telah diperbaiki oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday pada Agustus 2024. Meskipun demikian, eksploitasi yang terkait dengan Citrine Sleet telah terdeteksi pasca perbaikan dirilis.

"Hal ini mungkin mengindikasikan adanya 'tabrakan bug', di mana kerentanan yang sama ditemukan secara independen oleh aktor ancaman yang berbeda, atau ada kemungkinan pengetahuan tentang kerentanan tersebut disebarkan oleh satu peneliti kerentanan kepada beberapa pelaku," jelas Microsoft.

CVE-2024-7971 juga merupakan kerentanan ketiga yang dimanfaatkan oleh aktor ancaman Korea Utara tahun ini untuk menyebarkan rootkit FudModule, setelah CVE-2024-21338 dan CVE-2024-38193, yang keduanya adalah kelemahan peningkatan hak istimewa pada driver bawaan Windows dan telah diperbaiki oleh Microsoft pada bulan Februari dan Agustus.

"Rantai eksploitasi CVE-2024-7971 bergantung pada beberapa komponen untuk menyerang target, dan rantai serangan ini akan gagal jika salah satu komponen ini diblokir, termasuk CVE-2024-38106," ungkap Microsoft.

Microsoft juga menjelaskan bahwa "Eksploitasi zero-day tidak hanya memerlukan pembaruan sistem, tetapi juga memerlukan solusi keamanan yang menyediakan visibilitas terpadu di seluruh rangkaian serangan siber untuk mendeteksi dan memblokir alat penyerang pasca kompromi serta aktivitas jahat setelah eksploitasi.”