Geçtiğimiz günlerde Google Chrome için yeni bir 0day zafiyetinin tespit edildiğinden bahsetmiştik. 0day veya sıfırıncı gün zafiyetleri az sayıda, teknik bilgisi güçlü saldırganın kullandığı “elit” açıklardır. Genelde deep web üzerinden binlerce hatta on binlerce dolara satılır. Ve bunu tespit edenler sadece kendileri kullanarak daha büyük ganimetler elde eder.
Chrome Açığı ve Kripto
Güvenmediğiniz internet sitesi ve uygulamalardan uzak kalmanız gerektiğini her fırsatta yazıyoruz. Hatta kendini ispatlamış ücretli anti virüs yazılımlarını web trafiğinizin güvenliğini sağlayacak şekilde kullanmanız gerektiğini de. Anti virüs yazılımları her zaman kullanıcıları korumaz ancak ortaya çıkmış tuzaklardan sizi büyük ölçüde uzak tutar.
Biraz önce Microsoft bahsettiğimiz güvenlik açığının Kuzey Koreli saldırganlar tarafından kripto yatırımcılarını hedefler biçimde kullanıldığından bahsetti.
“19 Ağustos 2024 tarihinde Microsoft, Kuzey Koreli bir tehdit aktörünün Chromium’da CVE-2024-7971 olarak tanımlanan sıfırıncı gün açığından faydalanarak uzaktan kod çalıştırma (RCE) kabiliyeti elde ettiğini tespit etmiştir. CVE-2024-7971’in gözlemlenen istismarının, finansal kazanç için kripto para sektörünü hedefleyen Kuzey Koreli bir tehdit aktörüne atfedilebileceğini yüksek güvenle değerlendiriyoruz.”
Microsoft uzmanları zafiyetin Diamond Sleet ve Citrine Sleet isimli iki grup tarafından ortak biçimde kullanıldığı tespit etti. Peki saldırı senaryosu ne? Bunu da araştırmanın detaylarında görüyoruz.
“Citrine Sleet tarafından gerçekleştirilen gözlemlenen sıfır gün istismar saldırısı, tarayıcı istismar zincirlerinde görülen tipik aşamaları kullanmıştır. İlk olarak, hedefler Citrine Sleet tarafından kontrol edilen voy****club[.]space saldırı adresine yönlendirilmiştir. Şu anda hedeflerin nasıl yönlendirildiğini doğrulayamasak da, sosyal mühendislik (trade veya kripto cüzdan uygulaması diyerek linke yönlendirme vs) Citrine Sleet tarafından kullanılan yaygın bir taktiktir. Bir hedef internet adresine bağlandığında, CVE-2024-7971 için sıfır gün RCE istismarı sunuldu.
RCE istismarı korumalı Chromium renderer işleminde kod yürütmeyi başardıktan sonra, bir Windows korumalı alan kaçış istismarı ve FudModule rootkit içeren Shellcode indirildi ve ardından belleğe yüklendi. Sandbox kaçışı, Windows çekirdeğindeki bir güvenlik açığı olan ve Microsoft’un 13 Ağustos 2024’te, Kuzey Koreli tehdit aktörünün bu faaliyetini keşfetmesinden önce düzelttiği CVE-38106’dan yararlandı”.
Google Chrome bu açığı (21 Ağustos günü) yamadı ve 60 gün içinde detaylı açıklama yapması bekleniyor. Tarayıcınızı her zaman güncel tutun ve şüphecilikten uzak kalmayın. Kuzey Koreli saldırganlar artık çok daha hedef odaklı saldırılar yapıyor ve bu tarz sıfırdan tespit edilen açıklar onların işini kolaylaştırıyor. Saldırganların bu zafiyet sayesinde mağdur ettiği kripto para yatırımcılarına dair henüz kapsamlı bir rapor yayınlanmadı. Ayrıca sistemlerini halen güncellememiş olanlar potansiyel hedef olarak kalmaya devam ediyor.
