Microsoft ระบุตัวผู้ขโมยสกุลเงินดิจิทัลของเกาหลีเหนือที่อยู่เบื้องหลังการโจมตีด้วยรหัสระยะไกลแบบ Zero-Day ของ Google Chrome
เมื่อไม่นานนี้ ทีมข่าวกรองภัยคุกคามของ Microsoft ได้เปิดเผยว่าผู้ก่อภัยคุกคามชื่อดังจากเกาหลีเหนืออยู่เบื้องหลังการใช้ประโยชน์จากช่องโหว่การรันโค้ดจากระยะไกลที่สำคัญของ Chrome ช่องโหว่นี้ซึ่ง Google ได้แก้ไขเมื่อวันที่ 21 สิงหาคม 2024 ถูกใช้ประโยชน์ผ่านช่องโหว่ความสับสนประเภทในเครื่องมือ Chromium V8 JavaScript และ WebAssembly ช่องโหว่ดังกล่าวซึ่งระบุชื่อว่า CVE-2024-7971 เป็นช่องโหว่แบบ zero-day ของ Chrome ครั้งที่ 7 ที่ตรวจพบในปีนี้
สารบัญ
แฮกเกอร์ชาวเกาหลีเหนือใช้ประโยชน์จากช่องโหว่ของ Chrome เพื่อแสวงหาผลประโยชน์ทางการเงิน
ตามรายงานของ Microsoft การใช้ประโยชน์จากช่องโหว่ CVE-2024-7971 เชื่อว่าเป็นฝีมือของกลุ่มชาวเกาหลีเหนือที่รู้จักกันในชื่อ 'Citrine Sleet' กลุ่มนี้มีประวัติการโจมตีสถาบันการเงินและบุคคลที่บริหารจัดการสกุลเงินดิจิทัลเพื่อหวังผลกำไรทางการเงินจำนวนมาก รายงานของ Microsoft ระบุว่า Citrine Sleet ใช้ช่องโหว่แบบ zero-day เพื่อรันโค้ดจากระยะไกล ทำให้สามารถแทรกซึมเข้าไปในเครื่องของเหยื่อและปรับใช้รูทคิทที่ซับซ้อนได้
การโจมตีดังกล่าวเกิดขึ้นครั้งแรกเมื่อวันที่ 19 สิงหาคม 2024 เมื่อแฮกเกอร์จากเกาหลีเหนือส่งเหยื่อไปยังโดเมนที่ถูกบุกรุก โดเมนดังกล่าวได้รับการออกแบบมาเพื่อส่งช่องโหว่การรันโค้ดจากระยะไกลผ่านเบราว์เซอร์ ซึ่งท้ายที่สุดแล้วจะทำให้ผู้โจมตีสามารถควบคุมระบบเป้าหมายได้ เมื่อเข้าไปถึงโดเมนดังกล่าวแล้ว แฮกเกอร์ได้ใช้รูทคิท FudModule ซึ่งเป็นซอฟต์แวร์อันตรายที่เชื่อมโยงกับกลุ่มภัยคุกคามต่อเนื่องขั้นสูง (APT) ของเกาหลีเหนือกลุ่มอื่น
ซิทรินสลีตและบริษัทในเครือ
Citrine Sleet ซึ่งเป็นชื่อที่ Microsoft มอบให้กับกลุ่มนี้ ยังถูกติดตามโดยองค์กรด้านความปลอดภัยทางไซเบอร์อื่นๆ โดยใช้ชื่ออื่นด้วย เช่น AppleJeus , Labyrinth Chollima, UNC4736 และ Hidden Cobra ชื่อเหล่านี้บ่งชี้ถึงความเกี่ยวข้องของกลุ่มกับหน่วย 121 ของหน่วยข่าวกรองทั่วไปของเกาหลีเหนือ ซึ่งเป็นหน่วยสงครามไซเบอร์ที่มีชื่อเสียงในด้านการวางแผนการโจมตีทางไซเบอร์ขนาดใหญ่
การป้องกันภัยคุกคามดังกล่าว
จากการที่ภัยคุกคามทางไซเบอร์ที่มุ่งเป้าไปที่ภาคส่วนสกุลเงินดิจิทัลมีมากขึ้น จึงมีความจำเป็นอย่างยิ่งที่บุคคลและองค์กรจะต้องเฝ้าระวัง การที่ Microsoft ระบุกิจกรรมของ Citrine Sleet ได้ทันท่วงทีนั้นเน้นย้ำถึงความสำคัญของการอัปเดตซอฟต์แวร์และใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อป้องกันการโจมตีที่ซับซ้อน
เนื่องจากภัยคุกคามทางไซเบอร์ยังคงพัฒนาอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งภัยคุกคามที่เกี่ยวข้องกับหน่วยงานรัฐ เช่น Citrine Sleet ดังนั้นการรักษาแนวทางเชิงรุกในการรักษาความปลอดภัยทางไซเบอร์จึงมีความจำเป็น การติดตามข้อมูลเกี่ยวกับช่องโหว่ล่าสุดและช่องโหว่เหล่านี้ เช่น CVE-2024-7971 ใน Google Chrome ถือเป็นกุญแจสำคัญในการป้องกันอันตรายที่มักเกิดขึ้นอยู่เสมอเหล่านี้