Grupa je iskoristila eksploataciju nultog dana kako bi preuzela potpunu kontrolu nad zaraženim sistemima. To je poslednji u dugom nizu sajber-napada koje podržava Severna Koreja.
Kampanja je otkrivena kada je Kaspersky Total Security otkrio novu verziju malvera Manuscrypt na jednom računaru u Rusiji.
Manuscrypt, prepoznatljiv alat grupe Lazarus, koristi se od 2013. godine. On je korišćen u više od 50 dokumentovanih kampanja čiji su ciljevi bile vlade, finansijske institucije, platforme za kriptovalute i još mnogo toga. Međutim, ovaj slučaj je poseban jer grupa retko direktno cilja pojedince.
Istraga je pratila infekciju do veb sajta, detankzone[.]com, koji se predstavljao kao legitimna platforma za decentralizovane finansije (DeFi). Posetioci sajta su nesvesno pokretali eksploataciju samo time što su sajtu pristupali preko Chromea. Igra, reklamirana kao NFT onlajn borbena arena, bila je samo fasada koja skriva zlonamerni kod koji kompromituje sistem korisnika preko pretraživača.
Eksploatacija, koja je ciljala novouvedenu funkciju u Chromeovom V8 JavaScript endžinu, omogućila je napadačima da zaobiđu sigurnosne mehanizme pretraživača i dobiju daljinsku kontrolu nad pogođenim uređajima.
Istraživači kompanije Kaspersky su odmah prijavili ranjivost Googleu, koji je objavio zakrpu u roku od dva dana.
Ranjivosti Chromea koje su iskorišćene u ovom napadu su CVE-2024-4947 i V8 Sandbox Bypass koja je omogućila Lazarusu da zaobiđe Chromeove funkcije zaštite memorije.
Dok se Kaspersky pridržavao odgovorne prakse otkrivanja podataka, Microsoft je navodno objavio sličan izveštaj koji je otkrio element nultog dana kampanje. Zbog toga je Kaspersky objavio dodatne detalje, upozoravajući na ozbiljnost ranjivosti i potrebu da korisnici odmah ažuriraju svoje pretraživače.
Izvor: Informacija/Kurir/Darko Mulic