来自Lazarus Group的朝鲜黑客利用Google Chrome的零日漏洞，通过一款具有欺骗性的假NFT游戏瞄准加密货币投资者。攻击者使用社交工程和恶意软件窃取敏感数据，并可能部署进一步的恶意软件。

臭名昭著的朝鲜黑客组织Lazarus Group针对加密货币投资者发起了复杂的攻击活动。卡巴斯基研究人员发现，该活动涉及一个多层攻击链，利用了社交工程、虚假游戏网站和Google Chrome中的零日漏洞。

据报道，卡巴斯基全方位安全软件于2024年5月发现了一条新的攻击链，该攻击链使用Manuscrypt后门针对一名未透露姓名的俄罗斯国民的个人电脑。

卡巴斯基研究人员Boris Larin和Vasily Berdnikov估计，此次攻击活动始于2024年2月。深入研究此次攻击后，研究人员发现，攻击者创建了一个名为“detankzonecom”的网站，该网站似乎是“DeFiTankZone”游戏的合法平台。

这款游戏据称将去中心化金融(DeFi)元素与非同质化代币(NFT)结合在多人在线战斗竞技场(MOBA)环境中。该网站甚至提供可下载的试用版，进一步增强了合法性的假象。然而，表面之下隐藏着一个恶意陷阱。

研究人员写道：“该网站的幕后黑手是运行在用户的Google Chrome浏览器中的隐藏脚本，从而启动零日漏洞，让攻击者完全控制受害者的电脑。”

该漏洞利用代码包含两个漏洞：一个漏洞允许攻击者从JavaScript访问Chrome进程的整个地址空间(CVE-2024-4947)，另一个漏洞允许绕过V8沙盒访问寄存器数组边界之外的内存。Google于2024年3月修补了V8 JavaScript和WebAssembly引擎中的类型混淆漏洞CVE-2024-4947，但目前尚不清楚攻击者是否更早发现它并将其作为零日漏洞武器化或将其作为N 日漏洞利用。

n天漏洞是指已发现、公开披露且通常由软件供应商修补或缓解的安全漏洞或弱点。术语“n天”表示漏洞已为人所知“n”天，其中n表示漏洞首次披露或修补后的天数。

成功利用后，攻击者会部署自定义脚本（验证器）来收集系统信息并确定受感染的设备是否拥有任何值得进一步利用的宝贵资产。此阶段之后交付的具体有效载荷仍不得而知。

在此次活动中，Lazarus利用X（以前称为Twitter）和LinkedIn等社交媒体平台，瞄准了加密货币领域的有影响力的人物。他们在X上建立了多个账户，积极推广这款假游戏，并聘请了生成式人工智能和图形设计师为DeTankZone游戏创建高质量的宣传内容。此外，该组织还向感兴趣的个人发送特制的电子邮件，冒充区块链公司或寻求投资机会的游戏开发商。

DeTankZone网站本身似乎是建立在合法区块链游戏DeFiTankLand(DFTL)被盗源代码之上的。这款游戏在2024年3月遭遇安全漏洞，导致价值20000美元的加密货币被盗。

虽然开发人员怀疑有内部人员参与，但卡巴斯基的研究人员认为，拉撒路集团可能对盗窃和将被盗源代码重新用于其恶意活动负有责任。

此次活动凸显了Lazarus Group不断演变的策略。必须警惕未经请求的投资机会，尤其是那些涉及可下载游戏客户端或可疑社交媒体促销的机会。此外，保持Chrome等浏览器软件更新到最新的安全补丁对于降低零日漏洞利用的风险至关重要。