उत्तर कोरियाई हैकर्स ने Google Chrome के ज़ीरो-डे वल्नरेबिलिटी का शोषण कर FudModule रूटकिट तैनात किया
हाल ही में, उत्तर कोरियाई हैकर्स ने Google Chrome के हाल ही में पैच किए गए ज़ीरो-डे वल्नरेबिलिटी (CVE-2024-7971) का शोषण किया। इस हमले में, हैकर्स ने Windows Kernel एस्केप के जरिए SYSTEM प्रिविलेज प्राप्त किए और इसके बाद FudModule रूटकिट को तैनात किया। यह घटना साइबर सुरक्षा के क्षेत्र में एक महत्वपूर्ण मुद्दा बन गई है और इससे संबंधित कई तकनीकी और सुरक्षा विवरण सामने आए हैं।
CVE-2024-7971 का शोषण और उसकी गंभीरता
Google ने हाल ही में CVE-2024-7971 नामक ज़ीरो-डे वल्नरेबिलिटी को पैच किया है, जो Chrome के V8 JavaScript इंजन में एक प्रकार की भ्रमित करने वाली कमजोरी है। यह वल्नरेबिलिटी हैकर्स को शिकार की मशीन पर रिमोट कोड एक्सेक्यूशन प्राप्त करने की अनुमति देती है। इस सुरक्षा कमजोरी का लाभ उठाकर, हैकर्स ने शिकार को एक हमलावर द्वारा नियंत्रित वेबसाइट पर रीडायरेक्ट किया, जो कि voyagorclub[.]space थी।
सैंडबॉक्स से बाहर निकलने के बाद, हैकर्स ने एक Windows सैंडबॉक्स एस्केप एक्सप्लॉइट डाउनलोड किया। यह एक्सप्लॉइट CVE-2024-38106 वल्नरेबिलिटी को लक्षित करता है, जिसे इस महीने के पैच मंगलवार के दौरान ठीक किया गया था। इस एक्सप्लॉइट ने हैकर्स को SYSTEM प्रिविलेज प्राप्त करने में मदद की, जिससे वे सिस्टम के अधिक नियंत्रण में आ गए।
FudModule रूटकिट का उपयोग और उसका प्रभाव
हैकर्स ने Windows Kernel एस्केप के बाद FudModule रूटकिट को डाउनलोड और लोड किया। यह रूटकिट कर्नेल टैम्परिंग और डायरेक्ट कर्नेल ऑब्जेक्ट मैनिपुलेशन (DKOM) के लिए उपयोग किया गया, जो उन्हें कर्नेल सुरक्षा तंत्रों को बायपास करने की अनुमति देता है। FudModule रूटकिट ने SYSTEM प्रिविलेज प्राप्त करने के बाद कर्नेल स्तर पर नियंत्रण को मजबूत किया, जिससे हैकर्स को सिस्टम के गहरे हिस्सों में घुसपैठ करने की सुविधा मिली।
Citrine Sleet और उनके लक्षित क्षेत्र
Microsoft ने शुक्रवार को कहा कि “हम इस बात का उच्च विश्वास के साथ मूल्यांकन करते हैं कि CVE-2024-7971 का प्रेक्षित शोषण एक उत्तर कोरियाई थ्रेट एक्टिविस्ट द्वारा क्रिप्टोकरेंसी सेक्टर को लक्षित करने के लिए किया गया है।” इन हमलों को Citrine Sleet (जिसे पहले DEV-0139 के रूप में ट्रैक किया गया था) द्वारा अंजाम दिया गया है।
Citrine Sleet वित्तीय संस्थानों को विशेष रूप से क्रिप्टोकरेंसी संगठनों और उनके संबंधित व्यक्तियों को लक्ष्य बनाता है। इस थ्रेट ग्रुप को उत्तर कोरिया के रीकॉनसेंस जनरल ब्यूरो के Bureau 121 से जोड़ा गया है, जो एक प्रमुख साइबर वारफेयर इकाई है। Citrine Sleet ने पहले भी क्रिप्टोकरेंसी सेक्टर में व्यापक हमले किए हैं और इस क्षेत्र में कई महत्वपूर्ण लक्ष्यों को निशाना बनाया है।
Attack on Crypto Sector North Korean Hackers imposed Chrome Zero-Day
उत्तर कोरियाई हैकर्स के अन्य थ्रेट ग्रुप्स को भी विभिन्न नामों से जाना जाता है। AppleJeus, Labyrinth Chollima, और UNC4736 इनमें शामिल हैं। अमेरिकी सरकार ने उत्तर कोरियाई सरकार द्वारा प्रायोजित मैलिशस एक्टर्स को Hidden Cobra के नाम से संदर्भित किया है।
AppleJeus और UNC4736 ने भी अपने हमलों में विभिन्न रणनीतियाँ अपनाई हैं। उदाहरण के लिए, UNC4736 ने मार्च 2023 में वीडियो कॉन्फ्रेंसिंग सॉफ्टवेयर निर्माता 3CX के Electron-आधारित डेस्कटॉप क्लाइंट को ट्रोजनाइज किया। इससे पहले, उन्होंने Trading Technologies की साइट को भी टार्गेट किया था, जिससे वे ट्रोजनाइज्ड X_TRADER सॉफ्टवेयर बिल्ड्स को फैलाने में सफल रहे।
Trading Technologies और अन्य लक्ष्यों पर हमले
Google की थ्रेट एनालिसिस ग्रुप (TAG) ने भी AppleJeus को Trading Technologies की वेबसाइट की समझौता के साथ जोड़ा है। मार्च 2022 में प्रकाशित एक रिपोर्ट के अनुसार, इस वेबसाइट को भी क्रिप्टोकरेंसी से जुड़े मैलवेयर के फैलाने के लिए हैक किया गया था।
अमेरिकी सरकार ने वर्षों से उत्तर कोरियाई-समर्थित राज्य हैकर्स द्वारा क्रिप्टोकरेंसी से संबंधित कंपनियों और व्यक्तियों को लक्षित करने की चेतावनी दी है। AppleJeus मैलवेयर का उपयोग इस उद्देश्य के लिए किया जाता है और यह एक महत्वपूर्ण साइबर खतरा है।
Microsoft की सुरक्षा अपडेट और प्रतिक्रियाएँ
Microsoft ने 13 अगस्त को Windows में AFD.sys ड्राइवर में एक ज़ीरो-डे वल्नरेबिलिटी (CVE-2024-38193) को ठीक करने के लिए एक सुरक्षा अपडेट जारी किया। Gen Threat Labs ने जून की शुरुआत में इस वल्नरेबिलिटी का शोषण करने वाले Diamond Sleet ग्रुप की पहचान की थी। इस हमले में FudModule रूटकिट का उपयोग किया गया, जो मानक उपयोगकर्ता से कर्नेल एक्सेस को स्थापित करता है।
Microsoft ने यह भी बताया कि CVE-2024-7971 Chrome ज़ीरो-डे का शोषण करने वाले हमलों में से एक को BlueNoroff (या Sapphire Sleet) द्वारा भी लक्षित किया गया था, जो एक अन्य उत्तर कोरियाई थ्रेट ग्रुप है।
उत्तर कोरियाई हैकर्स की ये गतिविधियाँ साइबर सुरक्षा के क्षेत्र में एक महत्वपूर्ण चेतावनी हैं। CVE-2024-7971 और CVE-2024-38106 वल्नरेबिलिटीज का शोषण करके, इन हैकर्स ने अपनी क्षमताओं को साबित किया है और वित्तीय और क्रिप्टोकरेंसी क्षेत्रों में संभावित खतरों को उजागर किया है। इस प्रकार, यह अत्यंत महत्वपूर्ण है कि संगठन और व्यक्तियों को इन हमलों से बचाव के लिए नवीनतम सुरक्षा उपायों को अपनाना चाहिए और अपनी साइबर सुरक्षा रणनीतियों को मजबूत करना चाहिए।