Grupa Lazarus, pochodząca z Korei Północnej, została powiązana z wykorzystaniem luki typu zero-day w przeglądarce Google Chrome, co pozwalało na przejęcie kontroli nad zainfekowanymi urządzeniami. Ta niebezpieczna luka, która została już naprawiona, była częścią większej kampanii cyberprzestępczej, której szczegóły odkryła firma Kaspersky w maju 2024 roku.
Atak na rosyjskiego obywatela i manipulacja stroną internetową
Według ekspertów ds. cyberbezpieczeństwa, atak został wymierzony w komputer osobisty nieznanego obywatela Rosji. Kluczowym elementem ataku było wykorzystanie backdoora o nazwie Manuscrypt. Schemat ataku wykorzystywał fałszywą stronę internetową dotyczącą kryptowalut. Witryna „detankzone[.]com”, która na pierwszy rzut oka wyglądała jak strona promująca grę opartą na technologii DeFi i NFT, w rzeczywistości była pułapką dla odwiedzających.
Strona udawała, że promuje grę typu MOBA z czołgami, zachęcając użytkowników do pobrania wersji próbnej. Jednak w tle uruchamiany był skrypt wykorzystujący lukę w przeglądarce Google Chrome, co umożliwiało atakującym uzyskanie pełnej kontroli nad komputerem ofiary. Kaspersky zwrócił uwagę, że atak ten był częścią kampanii rozpoczętej w lutym 2024 roku, celującej głównie w osoby związane z sektorem kryptowalut.
Luka zero-day i wykorzystanie przeglądarki Chrome
Kluczową rolę w ataku odegrała luka CVE-2024-4947, która dotyczyła błędu typu confusion w silniku JavaScript i WebAssembly V8 w przeglądarce Chrome. Google naprawiło tę lukę w połowie maja 2024 roku. Jednak zanim to nastąpiło, atakujący zdołali ją wykorzystać, stosując skomplikowane metody obejścia mechanizmów bezpieczeństwa przeglądarki.
Grupa Lazarus, znana z wyrafinowanych ataków, wykorzystała nie tylko jedną, ale dwie luki w przeglądarce. Pierwsza z nich umożliwiła atakującym uzyskanie dostępu do pamięci procesu Chrome z poziomu JavaScriptu. Druga natomiast pozwalała obejść zabezpieczenia sanboxu V8, co dawało im jeszcze większe możliwości manipulacji systemem ofiary.
Społeczna inżynieria i taktyki Lazarusa
Grupa Lazarus jest znana z zaawansowanych kampanii inżynierii społecznej. W ramach tej kampanii atakujący kontaktowali się z potencjalnymi ofiarami za pośrednictwem e-maili i platform społecznościowych, takich jak X (dawniej Twitter) i LinkedIn. Podszywali się pod firmy zajmujące się blockchainem lub deweloperów gier, oferując inwestycje lub współpracę, co miało na celu nakłonienie ofiar do pobrania zainfekowanego oprogramowania.
Grupa ta znana jest z dbałości o detale w swoich atakach. Przez kilka miesięcy budowali swoją obecność w mediach społecznościowych, regularnie publikując treści związane z grą, którą promowali. Wykorzystali do tego generatywną sztuczną inteligencję oraz profesjonalnych grafików, co sprawiło, że atak wyglądał bardzo przekonująco.
Użycie złośliwego oprogramowania i kradzież kodu źródłowego
Atak polegał także na skłonieniu ofiar do pobrania archiwum ZIP o nazwie „detankzone.zip”. Wewnątrz znajdowała się funkcjonalna gra, która wymagała rejestracji. Niestety, oprócz normalnych plików gry, archiwum zawierało również złośliwy kod, który uruchamiał specjalny loader, nazwany YouieLoad. Loader ten umożliwiał dalsze zbieranie informacji o systemie ofiary i ocenę, czy jest on wystarczająco wartościowy, aby kontynuować dalsze działania poeksploatacyjne.
Kaspersky podejrzewa, że grupa Lazarus ukradła kod źródłowy do tej gry z prawdziwego projektu blockchainowego o nazwie DeFiTankLand (DFTL). Projekt ten padł ofiarą ataku w marcu 2024 roku, podczas którego skradziono kryptowaluty o wartości 20 000 dolarów. Choć początkowo oskarżono o ten atak insidera, Kaspersky sugeruje, że to właśnie grupa Lazarus była za to odpowiedzialna, kradnąc zarówno kod źródłowy, jak i środki finansowe.
Podsumowanie i przyszłe zagrożenia
Grupa Lazarus od dawna jest uznawana za jednego z najbardziej aktywnych i wyrafinowanych aktorów w świecie cyberprzestępczym. Ich motywacją, jak pokazują ostatnie ataki, jest często zysk finansowy. Ewolucja taktyk i strategii tej grupy wskazuje, że będą oni nadal rozwijać swoje umiejętności, wykorzystując nowe technologie, w tym sztuczną inteligencję, aby jeszcze skuteczniej przeprowadzać ataki.
Eksperci zalecają szczególną ostrożność w kontaktach z nieznanymi osobami oraz firmami w przestrzeni kryptowalut i gier blockchainowych, zwłaszcza gdy oferują one współpracę lub inwestycje.
