Vulnérabilité de Google Chrome exploitée par des pirates nord-coréens, avertit Microsoft

Le groupe de cybercriminalité nord-coréen Citrine Sleet exploite une vulnérabilité zero-day de Chromium

Microsoft a publié un rapport vendredi révélant que la semaine dernière, il a découvert un groupe de cybercriminalité nord-coréen, Citrine Sleet, exploitant une vulnérabilité zero-day dans le navigateur Chromium. Ce rapport, publié par Microsoft Threat Intelligence et le Microsoft Security Response Center (MSRC), a identifié la vulnérabilité sous le nom de CVE-2024-7971, une faille de confusion de type dans le moteur V8 Javascript et Webassembly utilisé par Chromium.

Cette faille zero-day permettait l’exécution de code à distance (RCE) dans le processus d’isolation du moteur de rendu des navigateurs, ce qui permettait aux attaquants d’exécuter du code nocif sur les systèmes ciblés. Microsoft a déclaré :

Notre analyse en cours et l’infrastructure observée nous conduisent à attribuer cette activité avec une confiance moyenne à Citrine Sleet.

Citrine Sleet est connu pour son attention sur le secteur des cryptomonnaies, visant des avantages financiers. Une analyse plus approfondie a suggéré que Citrine Sleet pourrait partager des outils et une infrastructure avec un autre groupe de menaces nord-coréen, Diamond Sleet, en particulier à travers l’utilisation du rootkit malware Fudmodule. Le rapport a noté que Citrine Sleet, également connu sous d’autres noms tels que Applejeus et Hidden Cobra, est lié au Bureau 121, l’unité de cyber-espionnage de la Corée du Nord. Le groupe emploie des techniques avancées, notamment la création de faux sites de cryptomonnaie et l’envoi d’offres d’emploi malveillantes ou de portefeuilles de cryptomonnaies pour tromper les victimes.

Chromium est un projet de navigateur Web open-source qui sert de fondation à Google Chrome, qui incorpore des fonctionnalités et des services propriétaires supplémentaires. Étant donné que Chrome est construit sur la base de code de Chromium, les vulnérabilités de Chromium affectent généralement également Chrome.

Lorsqu’une cible se connectait au domaine voyagorclub[.]space, une exploitation zero-day était utilisée, conduisant au téléchargement de logiciels malveillants et à une évasion du bac à sable de sécurité de Windows. Bien que Microsoft ait corrigé la vulnérabilité le 13 août, il n’y avait aucun lien direct avec les activités de Citrine Sleet, ce qui suggère que la vulnérabilité peut avoir été découverte par différents groupes en même temps ou par le biais d’intelligence partagée.

Microsoft a conseillé :

Les exploits zero-day nécessitent non seulement de maintenir les systèmes à jour, mais aussi des solutions de sécurité offrant une visibilité unifiée sur la chaîne de cyberattaques pour détecter et bloquer les outils et activités malveillants des attaquants après la compromission.

Le rapport a souligné le besoin urgent de maintenir les systèmes à jour et de mettre en œuvre des protocoles de sécurité avancés pour se défendre contre les menaces cybernétiques complexes, en particulier dans le secteur des cryptomonnaies. Microsoft a insisté sur la nécessité de mettre à jour rapidement à la fois les systèmes d’exploitation et les applications, conseillant : “Maintenez les systèmes d’exploitation et les applications à jour. Appliquez les correctifs de sécurité dès que possible.” Il a également recommandé aux utilisateurs de vérifier que leur “navigateur Web Google Chrome est à jour avec la version 128.0.6613.84 ou ultérieure.”

Quels sont vos avis sur la découverte du groupe de cybercriminalité nord-coréen exploitant une vulnérabilité zero-day dans Chromium ? Faites-le nous savoir dans la section des commentaires ci-dessous.