Microsoft ha recentemente rilevato un gruppo di cyber-criminali nordcoreani, Citrine Sleet, sfruttare una vulnerabilità di sicurezza nei browser basati su Chromium, incluso Google Chrome. Questo difetto permetteva agli attaccanti di eseguire codice malevolo su dispositivi compromessi. Citrine Sleet ha utilizzato tattiche avanzate, come siti web falsi di criptovalute, per condurre i loro attacchi.
Vulnerabilità di Google Chrome sfruttata dagli hacker nordcoreani, avverte Microsoft
Questo articolo è stato pubblicato più di un anno fa. Alcune informazioni potrebbero non essere più attuali.
SCRITTO DA
CONDIVIDI
Il gruppo cyber nordcoreano Citrine Sleet sfrutta una vulnerabilità zero-day di Chromium
Microsoft ha pubblicato un rapporto venerdì rivelando che la settimana scorsa ha scoperto un gruppo di cyber-criminali nordcoreani, Citrine Sleet, sfruttare una vulnerabilità zero-day nel browser Chromium. Questo rapporto, pubblicato da Microsoft Threat Intelligence e Microsoft Security Response Center (MSRC), ha identificato la vulnerabilità come CVE-2024-7971, un difetto di confusione di tipo nel motore Javascript V8 e Webassembly utilizzato da Chromium.
Questo difetto zero-day permetteva l’esecuzione di codice remoto (RCE) all’interno del processo di renderizzazione isolato del browser, il che consentiva agli attaccanti di eseguire codice dannoso sui sistemi mirati. Microsoft ha detto:
La nostra analisi continua e l’infrastruttura osservata ci portano ad attribuire questa attività con media fiducia a Citrine Sleet.
Citrine Sleet è noto per il suo focus sul settore delle criptovalute, mirato a benefici finanziari. Un’ulteriore analisi ha suggerito che Citrine Sleet potrebbe condividere strumenti e infrastrutture con un altro gruppo di minacce nordcoreano, Diamond Sleet, in particolare attraverso l’uso del malware rootkit Fudmodule. Il rapporto ha notato che Citrine Sleet, noto anche con altri nomi come Applejeus e Hidden Cobra, è collegato a Bureau 121, l’unità di spionaggio informatico della Corea del Nord. Il gruppo utilizza tecniche avanzate, tra cui la creazione di siti di criptovalute falsi e l’invio di offerte di lavoro o portafogli di criptovalute malevoli per ingannare le vittime.
Chromium è un progetto di browser web open-source che serve come base per Google Chrome, che incorpora funzionalità e servizi proprietari aggiuntivi. Poiché Chrome è costruito sul codice di base di Chromium, le vulnerabilità in Chromium tipicamente influenzano anche Chrome.
Quando un obiettivo si connetteva al dominio voyagorclub[.]space, veniva utilizzato un exploit zero-day, portando al download di malware e a una fuga dal sandbox di sicurezza di Windows. Anche se Microsoft ha corretta la vulnerabilità il 13 agosto, non c’era un collegamento diretto con le attività di Citrine Sleet, suggerendo che la vulnerabilità potrebbe essere stata scoperta da gruppi diversi contemporaneamente o attraverso l’intelligence condivisa.
Microsoft ha consigliato:
Gli exploit zero-day richiedono non solo di mantenere i sistemi aggiornati, ma anche soluzioni di sicurezza che forniscano visibilità unificata attraverso la catena degli attacchi informatici per rilevare e bloccare strumenti di attacco post-compromesso e attività malevole dopo lo sfruttamento.
Il rapporto ha sottolineato la necessità urgente di mantenere i sistemi aggiornati e implementare protocolli di sicurezza avanzati per difendersi contro minacce informatiche complesse, in particolare nel settore delle criptovalute. Microsoft ha sottolineato la necessità di aggiornare rapidamente sia i sistemi operativi che le applicazioni, consigliando: “Mantieni i sistemi operativi e le applicazioni aggiornati. Applica le patch di sicurezza il prima possibile”. Ha inoltre raccomandato agli utenti di verificare che il “browser web Google Chrome sia aggiornato alla versione 128.0.6613.84 o successiva”.
Quali sono i tuoi pensieri sulla scoperta del gruppo cyber nordcoreano che sfrutta una vulnerabilità zero-day in Chromium? Facci sapere nella sezione commenti qui sotto.
