北韓駭客Lazarus假借DeFi遊戲為誘餌,利用Chrome零時差漏洞發動攻擊
支付動態 · 2024-10-24

今年5月Google修補瀏覽器零時差漏洞CVE-2024-4947,通報此弱點的卡巴斯基公佈漏洞濫用活動的細節,駭客聲稱提供電玩遊戲,並在網站上埋入惡意程式碼來觸發漏洞

5月15日Google發布Chrome 125更新(125.0.6422.60、61),修補零時差漏洞CVE-2024-4947,通報此弱點的資安業者卡巴斯基表示,當時他們看到北韓駭客組織Lazarus假借提供電玩遊戲的名義,並利用這項漏洞企圖控制受害者的電腦。

這起攻擊行動之所以曝光,起初是在5月13日,該廠牌防毒軟體在俄羅斯個人用戶的電腦,偵測到後門程式Manuscrypt感染的情況,由於使用該惡意程式的Lazarus鮮少針對個人用戶下手,這樣的情況引起研究人員的注意,進一步調查發現,detankzone[.]com網站利用瀏覽器弱點發動攻擊。

基本上,這個網站看起來像是介紹多人線上競技(MOBA)的坦克電玩遊戲DeTankZone,該遊戲號稱以去中心化金融(De-Fi)及非同質化代幣(NFT)為基礎開發而成,該網站亦提供試用版下載。但研究人員指出,這其實是障眼法,駭客在網站後臺埋藏指令碼,一旦使用者透過Chrome存取就會觸發漏洞,攻擊者可藉此完全控制連入此網站的電腦。

研究人員進一步指出,攻擊者架設的網站以TypeScript及React打造而成,他們將漏洞利用程式碼埋在名為index.tsx的檔案,但值得留意的是,這些程式碼不光利用CVE-2024-4947,還運用另一個近期才揭露的V8沙箱弱點。

形成CVE-2024-4947漏洞的原因,在於Google去年底推出的Chrome 117,納入即時(JIT)編譯器Maglev,該元件能根據解譯器(Interpreter)回饋的內容進行最佳化,快速產生品質較好的程式碼,但Maglev由於具有這項弱點而釀禍。

簡而言之,攻擊者的指令碼濫用Maglev、破壞Chrome使用的記憶體位址,並覆蓋該處理程式佔用的區域,從而存取Cookie、Token、儲存的密碼,以及上網記錄。

他們也發現這些駭客藉由人工智慧技術,產生幾可亂真的資料在社群網站X進行宣傳,並聯繫加密貨幣領域的有力人士,請他們協助宣傳。此外,這些駭客也透過專業設計網站、LinkedIn付費帳號,以及釣魚郵件從事相關活動。

值得留意的是,這款遊戲確實能實際正常安裝,並具有實際登入畫麵,但無法註冊帳號或是登入。研究人員發現,駭客很可能是竄改名為DeFiTankLand(DFTL)的遊戲製作而成。因為攻擊者於2月20日開始宣傳,3月2日DFTL傳出有開發者從其中1個冷錢包偷走2萬美元DFTL2加密貨幣,所以,研究人員根據這些跡象推測:Lazarus先是偷走了原始碼,再洗劫冷錢包。

研究人員指出,雖然他們向Google通報後遵循漏洞揭露政策,當時並未公開具體細節,讓用戶能有更多時間套用修補程式,然而,這起事故其實在5月底就已露出端倪,因為當時微軟公佈北韓駭客組織Moonstone Sleet的勒索軟體攻擊行動,當中恰巧提及此事部分攻擊過程。

根據微軟那時的描述,也可印證漏洞攻擊事件的經過。他們表示,駭客從2月開始,利用假的遊戲開發公司為幌子,以尋求投資者及開發人員支援為由發動網釣攻擊,導致電腦被植入惡意程式;攻擊者在4月對其中一家遭駭的公司植入勒索軟體FakePenny,並索討660萬美元比特幣。

熱門文章
英國確認各垂直行業的賭博稅稅率
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
首頁
遊戲
合作
發現
我的