Мицрософт идентификује севернокорејске крадљивце криптовалута иза експлоатације Гоогле Цхроме даљинског кода нула дана
Недавно је Мицрософтов тим за обавештавање претњи открио да је познати севернокорејски актер претњи стајао иза искоришћавања критичне грешке у даљинском извршавању Цхроме кода. Ова грешка, коју је Гугл закрпио 21. августа 2024. године, искоришћена је кроз рањивост типова у Цхромиум В8 ЈаваСцрипт и ВебАссембли мотору. Рањивост, идентификована као ЦВЕ-2024-7971, је седма таква Цхроме експлоатација нултог дана откривена ове године.
Преглед садржаја
Севернокорејски хакери искориштавају рањивост Цхроме-а за финансијску добит
Према Мицрософт-у, експлоатација ЦВЕ-2024-7971 је приписана севернокорејској групи познатој као 'Цитрине Слеет'. Ова група има историју циљања на финансијске институције и појединце који управљају криптовалутама, са циљем да оствари значајну финансијску добит. Мицрософтов извештај је указао на то да је Цитрине Слеет користио експлоатације нултог дана за извршавање удаљеног кода, омогућавајући им да се инфилтрирају у машине жртава и примене софистицирани рооткит.
Напади су први пут примећени 19. августа 2024, када су севернокорејски хакери усмерили своје жртве на компромитовани домен. Овај домен је дизајниран да испоручи експлоатације претраживача за даљинско извршавање кода, што је на крају омогућило нападачима да стекну контролу над циљаним системима. Када су ушли, хакери су применили ФудМодуле рооткит, злонамерни софтвер који је раније био повезан са другом севернокорејском групом напредних персистентних претњи (АПТ).
Цитринска сусњежица и њене везе
Цитрине Слеет, име које је Мицрософт дао овој групи, такође прате друге организације за сајбер безбедност под различитим псеудонимима, укључујући АпплеЈеус , Лабиринтх Цхоллима, УНЦ4736 и Хидден Цобра . Ови псеудоними указују на повезаност групе са Бироом 121 Генералног бироа за извиђање Северне Кореје, озлоглашеном јединицом за сајбер ратовање познатом по оркестрирању великих сајбер напада.
Заштита од таквих претњи
Са порастом сајбер претњи усмерених на сектор криптовалута, кључно је да појединци и организације остану на опрезу. Мицрософтова благовремена идентификација активности Цитрине Слеет-а наглашава важност ажурирања софтвера и употребе робусних безбедносних мера за заштиту од софистицираних напада.
Како сајбер претње настављају да се развијају, посебно оне повезане са актерима које спонзорише држава, као што је Цитрине Слеет, одржавање проактивног приступа сајбер безбедности је од суштинског значаја. Бити информисан о најновијим рањивостима и њиховим подвизима, као што је ЦВЕ-2024-7971 у Гоогле Цхроме-у, кључно је за одбрану од ових увек присутних опасности.