Lazarus тобы криптовалютаны ұрлау үшін Chrome да нөлдік күндік осалдықты пайдаланды

Жабу үшін зиянкестер онлайн танк ойындарының зиянды сайтын құрды

Kaspersky GReAT («Касперский зертханасы» ғаламдық қауіп-қатерді зерттеу және талдау орталығы) сарапшылары Lazarus тобының күрделі науқанын анықтады. Дүние жүзіндегі пайдаланушыларға шабуыл жасау үшін зиянкестер криптовалютада сыйақы алуға болатын онлайн танк ойыны үшін зиянды сайт жасады. Оның көмегімен олар Google Chrome браузеріндегі нөлдік күндік осалдықты пайдаланып, құрылғыларды жұқтыруға және крипто әмияндарының тіркелгі деректерін ұрлауға мүмкіндік берді. Қазір бұл осалдық жойылып, ойын сайты бұғатталған.

Бұл Lazarus-ты көрсетеді. 2024 жылдың мамырында Касперский зертханасының мамандары Manuscrypt бэкдор қолданған шабуылды тапты. Бұл 2013 жылдан бері Lazarus тобына тән құрал. Kaspersky GReAT 1мәліметтері бойынша, ол әртүрлі салалардағы ұйымдарға бағытталған 50-ден астам бірегей науқандарда қолданылған. Әрі қарай талдау барысында оның алдында Google Chrome браузері жұмыс істейтіні анықталды, бұл осы науқанды анықтауға мүмкіндік берді. Lazarus — нөлдік күндік осалдықтарды 9пайдаланатын бірнеше кибергруппалардың бірі. Бұл әдіс шабуылдаушылар арасында кең таралған емес, өйткені ол көп ресурстарды, соның ішінде уақыт пен білімді қажет етеді.

Қандай ойын. Сайтта пайдаланушыларға ойынның сынақ нұсқасын жүктеу ұсынылды, оның негізінде Play-To-Earn («Ақша табу үшін ойна») моделі жатыр. Ойынның мәні бүкіл әлемдегі қарсыластарымен виртуалды NFT танктеріндегі шайқастарда болды, онда сіз криптовалютада жеңіске жете аласыз деп болжануда. Ойынды шынымен бастауға болатын еді, дейді Касперский зертханасының мамандары.

Жәбірленушілерді тарту және олардың сенімін арттыру үшін шабуылдаушылар оны ілгерілету науқанын мұқият ойластырды, мысалы, халықаралық әлеуметтік желілерде бірнеше ай бойы жарнамаланған желілерде аккаунттар құрды. Осылайша олар нейрондық желілер арқылы салынған суреттерді пайдаланды. Сондай-ақ, шабуылдаушылар өз ойындарын жарнамалау үшін криптовалюта саласынан әсер етушілерді тартуға тырысты, содан кейін олардың шоттарына шабуыл жасауға тырысты.

Kaspersky GReAT сарапшылары шабуылдаушылар жасаған нұсқаның прототипі болған нақты ойынды тапты. Дизайн толығымен қайталанады: айырмашылықтар тек логотиптің орналасуында және визуалды дизайнның төмен сапасында. Ұрланған бастапқы код негіз ретінде алынған болуы мүмкін, шабуылдаушылар тек логотиптерді ауыстырып, нақты ойынға барлық сілтемелерді алып тастады. Зиянкестер зиянды ойынды насихаттау науқанын бастағаннан кейін көп ұзамай прототип жасаушылар әмиянынан 20 мың АҚШ доллары ұрланған деп мәлімдеді.

Ол не үшін қажет. Ойын тек зиянкестердің қақпағы болды. Сайтта Google Chrome браузері үшін эксплуатацияны жүктеуге және орындауға мүмкіндік беретін кодтың кішкене бөлігі болды. Ол үшін екі осалдық қолданылды. Олардың біреуі бұрын белгілі болған жоқ — бұл Google-дің V8 қозғалтқышында JavaScript және WebAssembly ашық көздерінде қолданылатын деректер түрлерінің сәйкес келмеуі. Бұл жәбірленушінің құрылғысын бақылауға мүмкіндік берді: еркін кодты орындау, қауіпсіздік функцияларын айналып өту және әртүрлі зиянды әрекеттерді орындау. Құрылғыны жұқтыру үшін сайтқа кіру жеткілікті болды, тіпті ойынды бастаудың қажеті жоқ еді. «Касперский зертханасы» Google-дің осалдығы туралы хабарлады, содан кейін компания оны жойды. Ол CVE-2024-4947 идентификаторын алды. Шабуылдаушылар Google Chrome қорғанысын айналып өту үшін V8 құмсалғыш деп аталатын тағы бір осалдықты пайдаланды.

«Біз қазірдің өзінде қаржылық пайда табуға бағытталған көптеген науқандарды көрдік, бірақ бұл жағдай ерекше. Зиянкестер әдеттегі әдістерден асып түсті: олар Google Chrome-да нөлдік күндік осалдықты пайдалану арқылы құрылғыларды жұқтыру үшін толық функционалды ойынды қақпақ ретінде пайдаланды. Егер Lazarus сияқты кибергруппаның шабуылы туралы айтатын болсақ, тіпті әлеуметтік желіге немесе электрондық поштаға сілтеме жасау сияқты зиянсыз болып көрінетін әрекеттер компьютерге немесе бүкіл кәсіпорын желісіне толық зиян келтіруі мүмкін. Зиянкестер бұл науқанды әзірлеуге көп күш жұмсады, бұл олардың жоспарларының өршілдігін көрсетеді. Ықтимал шабуылдар бүкіл әлемдегі пайдаланушылар мен ұйымдарға әсер етуі мүмкін», — деп түсіндіреді Kaspersky GReAT жетекші сарапшысы Борис Ларин.

Жаңа Lazarus науқаны туралы толығырақ мына жерден оқи аласыз https://securelist.ru/lazarus-apt-steals-crypto-with-a-tank-game/110837/.

Kaspersky GReAT туралы

Kaspersky GReAT жаһандық қауіп-қатерді зерттеу және талдау орталығы 2008 жылы құрылған. Оның міндеттеріне ең күрделі шабуылдарды, кибер тыңшылық науқандарын, инфекцияның жаңа әдістерін, нөлдік күндік осалдықтарды пайдаланатын эксплуатацияларды іздеу және зерттеу кіреді. Бүгінде Орталық командасында бүкіл әлем бойынша — Еуропада, Ресейде, Солтүстік және Оңтүстік Америкада, Азияда, Таяу Шығыста жұмыс істейтін 40-тан астам сарапшы бар. Бұл сарапшылар ең күрделі шабуылдарды, соның ішінде кибер тыңшылық пен қасақана науқандарды тергеудегі жетістіктерімен танымал.