TTL OSINT

Криптоигра Lazarus APT: инвесторы против нулевых дней

В статье рассказывается о сложном способе борьбы с киберугрозами под названием Lazarus APT, который использует в своих атаках бэкдор Manuscrypt как минимум с 2013 года. В статье рассказывается о недавней кампании, нацеленной на частных лиц в России с использованием веб-сайта под названием detankzone[.]com, который, как оказалось, предлагал многопользовательскую танковую онлайн-арену MOBA на основе децентрализованных финансов (DeFi). Однако веб-сайт содержал скрытый скрипт, который запускал эксплойт нулевого дня в Google Chrome, предоставляя злоумышленникам полный контроль над ПК жертвы. В статье также рассматриваются уязвимости, которыми воспользовались злоумышленники, и игра, которую они использовали в качестве приманки. Эксплойт использует две уязвимости в JavaScript-движке Google Chrome версии 8, CVE-2024-4947, чтобы получить возможность считывать и записывать данные из памяти процессов Chrome с помощью JavaScript и обойти "песочницу" версии 8. Злоумышленники использовали веб-сайт TypeScript/React для загрузки и запуска эксплойта Google Chrome.

Ссылка:https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/

Выборочные показатели Compromise:

• https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/
• securelist.com
• 7353ab9670133468081305bd442f7691cf2f2c1136f09d9508400546c417833a
• 59a37d7d2bf4cffe31407edd286a811d9600b68fe757829e30da4394ab65a4cc
• api.detankzone.com

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал