Η Microsoft εντοπίζει βορειοκορεάτες κλέφτες κρυπτονομισμάτων πίσω από την απομακρυσμένη εκμετάλλευση κώδικα του Google Chrome Zero-Day
Πρόσφατα, η ομάδα πληροφοριών απειλών της Microsoft αποκάλυψε ότι ένας γνωστός Βορειοκορεάτης παράγοντας απειλών βρισκόταν πίσω από την εκμετάλλευση ενός κρίσιμου ελαττώματος στην εκτέλεση απομακρυσμένου κώδικα του Chrome. Αυτό το ελάττωμα, το οποίο επιδιορθώθηκε η Google στις 21 Αυγούστου 2024, έγινε αντικείμενο εκμετάλλευσης μέσω μιας ευπάθειας σύγχυσης τύπων στη μηχανή JavaScript και WebAssembly Chromium V8. Η ευπάθεια, που προσδιορίζεται ως CVE-2024-7971, είναι η έβδομη τέτοια εκμετάλλευση του Chrome zero-day που εντοπίστηκε φέτος.
Πίνακας περιεχομένων
Βορειοκορεάτες χάκερ εκμεταλλεύονται την ευπάθεια του Chrome για οικονομικό κέρδος
Σύμφωνα με τη Microsoft, η εκμετάλλευση του CVE-2024-7971 έχει αποδοθεί σε μια βορειοκορεατική ομάδα γνωστή ως «Citrine Sleet». Αυτή η ομάδα έχει ιστορικό στόχευσης χρηματοπιστωτικών ιδρυμάτων και ιδιωτών που διαχειρίζονται κρυπτονομίσματα, στοχεύοντας σε σημαντικό οικονομικό κέρδος. Η αναφορά της Microsoft ανέφερε ότι το Citrine Sleet χρησιμοποίησε εκμεταλλεύσεις zero-day για την εκτέλεση απομακρυσμένου κώδικα, επιτρέποντάς τους να διεισδύσουν στις μηχανές των θυμάτων και να αναπτύξουν ένα εξελιγμένο rootkit.
Οι επιθέσεις παρατηρήθηκαν για πρώτη φορά στις 19 Αυγούστου 2024, όταν Βορειοκορεάτες χάκερ κατεύθυναν τα θύματά τους σε έναν παραβιασμένο τομέα. Αυτός ο τομέας σχεδιάστηκε για να παρέχει απομακρυσμένα εκμεταλλεύσεις προγράμματος περιήγησης εκτέλεσης κώδικα, τα οποία τελικά επέτρεψαν στους εισβολείς να αποκτήσουν τον έλεγχο των στοχευμένων συστημάτων. Μόλις μπήκαν μέσα, οι χάκερ ανέπτυξαν το rootkit FudModule, ένα κακόβουλο λογισμικό που προηγουμένως είχε συνδεθεί με μια άλλη ομάδα προηγμένης επίμονης απειλής της Βόρειας Κορέας (APT).
Citrine Sleet και οι συνεργασίες του
Το Citrine Sleet, το όνομα που δόθηκε από τη Microsoft σε αυτήν την ομάδα, παρακολουθείται επίσης από άλλους οργανισμούς κυβερνοασφάλειας με διαφορετικά ψευδώνυμα, συμπεριλαμβανομένων των AppleJeus , Labyrinth Chollima, UNC4736 και Hidden Cobra . Αυτά τα ψευδώνυμα δείχνουν τη σύνδεση της ομάδας με το Γραφείο 121 του Γενικού Γραφείου Αναγνώρισης της Βόρειας Κορέας, μια διαβόητη μονάδα κυβερνοπολέμου γνωστή για την ενορχήστρωση κυβερνοεπιθέσεων μεγάλης κλίμακας.
Προστασία από τέτοιες απειλές
Με την αύξηση των απειλών στον κυβερνοχώρο που στοχεύουν τον τομέα των κρυπτονομισμάτων, είναι ζωτικής σημασίας για άτομα και οργανισμούς να παραμείνουν σε επαγρύπνηση. Η έγκαιρη αναγνώριση από τη Microsoft των δραστηριοτήτων του Citrine Sleet υπογραμμίζει τη σημασία της διατήρησης του λογισμικού ενημερωμένο και της χρήσης ισχυρών μέτρων ασφαλείας για την προστασία από περίπλοκες επιθέσεις.
Καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται, ιδιαίτερα εκείνες που συνδέονται με κρατικούς φορείς όπως η Citrine Sleet, είναι απαραίτητη η διατήρηση μιας προληπτικής προσέγγισης για την ασφάλεια στον κυβερνοχώρο. Η ενημέρωση σχετικά με τις πιο πρόσφατες ευπάθειες και τις εκμεταλλεύσεις τους, όπως το CVE-2024-7971 στο Google Chrome, είναι το κλειδί για την άμυνα ενάντια σε αυτούς τους πάντα παρόντες κινδύνους.