Microsoft identifica i ladri di criptovalute nordcoreani dietro lo sfruttamento del codice remoto zero-day di Google Chrome
Di recente, il team di intelligence sulle minacce di Microsoft ha rivelato che un noto autore di minacce nordcoreano era dietro lo sfruttamento di una falla critica di esecuzione di codice remoto di Chrome. Questa falla, che Google ha corretto il 21 agosto 2024, è stata sfruttata tramite una vulnerabilità di confusione di tipo nel motore JavaScript e WebAssembly di Chromium V8. La vulnerabilità, identificata come CVE-2024-7971, è il settimo exploit zero-day di Chrome rilevato quest'anno.
Sommario
Gli hacker nordcoreani sfruttano la vulnerabilità di Chrome per ottenere guadagni finanziari
Secondo Microsoft, lo sfruttamento di CVE-2024-7971 è stato attribuito a un gruppo nordcoreano noto come "Citrine Sleet". Questo gruppo ha una storia di attacchi a istituzioni finanziarie e individui che gestiscono criptovalute, mirando a un guadagno finanziario sostanziale. Il rapporto di Microsoft ha indicato che Citrine Sleet ha utilizzato exploit zero-day per eseguire codice remoto, consentendo loro di infiltrarsi nei computer delle vittime e distribuire un sofisticato rootkit.
Gli attacchi sono stati osservati per la prima volta il 19 agosto 2024, quando gli hacker nordcoreani hanno indirizzato le loro vittime a un dominio compromesso. Questo dominio era stato progettato per fornire exploit del browser per l'esecuzione di codice remoto, che alla fine hanno consentito agli aggressori di ottenere il controllo sui sistemi presi di mira. Una volta all'interno, gli hacker hanno distribuito il rootkit FudModule, un software dannoso precedentemente associato a un altro gruppo di minacce persistenti avanzate (APT) nordcoreano.
Nevischio citrino e le sue affiliazioni
Citrine Sleet, il nome dato da Microsoft a questo gruppo, è monitorato anche da altre organizzazioni di sicurezza informatica sotto diversi alias, tra cui AppleJeus , Labyrinth Chollima, UNC4736 e Hidden Cobra . Questi alias indicano l'affiliazione del gruppo con il Bureau 121 del Reconnaissance General Bureau della Corea del Nord, una famigerata unità di guerra informatica nota per aver orchestrato attacchi informatici su larga scala.
Proteggersi da tali minacce
Con l'aumento delle minacce informatiche che prendono di mira il settore delle criptovalute, è fondamentale che individui e organizzazioni rimangano vigili. La tempestiva identificazione da parte di Microsoft delle attività di Citrine Sleet sottolinea l'importanza di mantenere il software aggiornato e di impiegare solide misure di sicurezza per proteggersi da attacchi sofisticati.
Poiché le minacce informatiche continuano a evolversi, in particolare quelle legate ad attori sponsorizzati dallo stato come Citrine Sleet, mantenere un approccio proattivo alla sicurezza informatica è essenziale. Rimanere informati sulle ultime vulnerabilità e sui loro exploit, come CVE-2024-7971 in Google Chrome, è fondamentale per difendersi da questi pericoli sempre presenti.