行业新闻与博客

臭名昭著的 Lazarus Group 及其子组织 BlueNoroff 最近发现的一次网络攻击暴露了 Google Chrome 的一个新漏洞。

该组织利用零日漏洞完全控制了受感染的系统，这是朝鲜支持的威胁行为者发起的一系列复杂活动中的最新一次。

当卡巴斯基全方位安全软件在俄罗斯的一台个人电脑上检测到新的 Manuscrypt 恶意软件实例时，该活动就被揭露了。

Manuscrypt 是 Lazarus 的标志性工具，自 2013 年以来一直被使用，出现在 50 多个针对政府、金融机构、加密货币平台等的记录活动中。然而，这起案件引人注目，因为该组织很少直接针对个人。

Google Chrome 零日漏洞可实现完全系统控制

进一步调查发现，感染源自一个欺骗性网站detankzone [.] com，该网站伪装成一个合法的去中心化金融 (DeFi) 游戏平台。网站访问者只需通过 Chrome 访问该网站，便会在不知情的情况下触发漏洞。这款游戏被宣传为基于 NFT 的多人在线战斗竞技场，但实际上它只是一个幌子，隐藏着通过浏览器劫持用户系统的恶意代码。

该漏洞针对的是 Chrome V8 JavaScript 引擎中新引入的功能，允许攻击者绕过浏览器的安全机制并获得对受影响设备的远程控制。卡巴斯基研究人员立即向谷歌报告了此漏洞，谷歌在两天内发布了补丁。

以下是此次攻击活动中的关键漏洞：

• CVE-2024-4947：Chrome 新 Maglev 编译器中存在一个漏洞，允许攻击者覆盖关键内存结构

• V8 沙箱绕过：第二个漏洞使 Lazarus 能够绕过 Chrome 的内存保护功能，执行任意代码

尽管卡巴斯基坚持负责任的披露做法，但据报道微软发布的相关报告遗漏了该活动的零日漏洞元素。这促使卡巴斯基提供进一步的细节，强调漏洞的严重性以及用户立即更新浏览器的必要性。

随着 Lazarus 不断改进其方法，利用社会工程学、零日漏洞和看似合法的平台，组织和个人都必须保持警惕。