אבטחת מחשבים מיקרוסופט מזהה גנבי מטבעות קריפטו בצפון קוריאה מאחורי...

מיקרוסופט מזהה גנבי מטבעות קריפטו בצפון קוריאה מאחורי Google Chrome ניצול קוד מרחוק אפס יום

לאחרונה, צוות מודיעין האיומים של מיקרוסופט חשף ששחקן איום צפון קוריאני ידוע עמד מאחורי ניצול פגם קריטי בביצוע קוד מרחוק של Chrome. הפגם הזה, שגוגל תיקנה ב-21 באוגוסט 2024, נוצל באמצעות פגיעות של בלבול במנוע Chromium V8 JavaScript ו-WebAssembly. הפגיעות, שזוהתה כ-CVE-2024-7971, היא הניצול השביעי מסוג Chrome Zero Day שזוהה השנה.

האקרים צפון קוריאנים מנצלים את הפגיעות של Chrome לרווח כספי

לפי מיקרוסופט, הניצול של CVE-2024-7971 יוחס לקבוצה צפון קוריאנית המכונה 'סיטרין סליט'. לקבוצה זו יש היסטוריה של מיקוד למוסדות פיננסיים ויחידים המנהלים מטבעות קריפטוגרפיים, במטרה להשיג רווח כספי משמעותי. הדוח של מיקרוסופט הצביע על כך ש-Citrine Sleet השתמשה בניצול של יום אפס כדי לבצע קוד מרחוק, מה שאיפשר להם לחדור למכונות של קורבנות ולפרוס ערכת שורש מתוחכמת.

ההתקפות נצפו לראשונה ב-19 באוגוסט 2024, כאשר האקרים צפון קוריאנים הפנו את קורבנותיהם לתחום שנפגע. תחום זה תוכנן לספק ניצול של ביצוע קוד מרחוק בדפדפן, מה שאפשר בסופו של דבר לתוקפים להשיג שליטה על המערכות הממוקדות. לאחר שנכנסו, פרסו ההאקרים את ה-Rootkit FudModule, תוכנה זדונית הקשורה בעבר לקבוצת איום מתמשך מתקדם צפון קוריאני (APT).

סיטרין סיטרין והשתייכותו

Citrine Sleet, השם שנתנה מיקרוסופט לקבוצה זו, עוקב גם אחר ארגוני אבטחת סייבר אחרים תחת כינויים שונים, כולל AppleJeus , Labyrinth Chollima, UNC4736 ו- Hidden Cobra . כינויים אלה מצביעים על השתייכותה של הקבוצה ללשכה 121 של הלשכה הכללית לסיירת צפון קוריאה, יחידת לוחמת סייבר ידועה לשמצה הידועה בתזמורת התקפות סייבר בקנה מידה גדול.

הגנה מפני איומים כאלה

עם העלייה באיומי הסייבר המכוונים למגזר המטבעות הקריפטוגרפיים, חיוני ליחידים ולארגונים להישאר ערניים. הזיהוי של מיקרוסופט בזמן של פעילות Citrine Sleet מדגיש את החשיבות של עדכון התוכנה ושימוש באמצעי אבטחה חזקים כדי להגן מפני התקפות מתוחכמות.

ככל שאיומי הסייבר ממשיכים להתפתח, במיוחד אלה הקשורים לשחקנים בחסות המדינה כמו סיטרין סליט, שמירה על גישה פרואקטיבית לאבטחת סייבר היא חיונית. להישאר מעודכן לגבי הפגיעויות האחרונות והניצול שלהן, כגון CVE-2024-7971 ב-Google Chrome, הוא המפתח להגנה מפני הסכנות הקיימות תמיד.


טוען...