Microsoft недавно обнаружила северокорейскую кибергруппу Citrine Sleet, использующую уязвимость в безопасности браузеров на основе Chromium, включая Google Chrome. Эта уязвимость позволяла злоумышленникам выполнять вредоносный код на скомпрометированных устройствах. Citrine Sleet использовала продвинутые тактики, такие как фальшивые веб-сайты криптовалют, для проведения атак.
Уязвимость Google Chrome эксплуатируется северокорейскими хакерами, предупреждает Microsoft
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
Северокорейская кибергруппа Citrine Sleet использует уязвимость нулевого дня в Chromium
Microsoft опубликовала отчет в пятницу, в котором сообщила, что на прошлой неделе обнаружила северокорейскую кибергруппу Citrine Sleet, использующую уязвимость нулевого дня в браузере Chromium. Этот отчет, опубликованный Microsoft Threat Intelligence и Центром реагирования на инциденты безопасности Microsoft (MSRC), определил уязвимость как CVE-2024-7971, ошибку перепутанного типа в V8 движке Javascript и Webassembly, используемом в Chromium.
Эта уязвимость нулевого дня позволяла выполнение удаленного кода (RCE) в изолированном процессе рендеринга браузеров, что позволило злоумышленникам запускать вредоносный код на целевых системах. Microsoft заявила:
Наш продолжающийся анализ и наблюдаемая инфраструктура позволяют нам с умеренной уверенностью приписывать эту активность Citrine Sleet.
Citrine Sleet известна своим фокусом на секторе криптовалют, стремясь к финансовым выгодам. Дальнейший анализ предположил, что Citrine Sleet может делить инструменты и инфраструктуру с другой северокорейской угрозой, Diamond Sleet, особенно с использованием руткита Fudmodule. В отчете отмечено, что Citrine Sleet, также известная под другими именами, такими как Applejeus и Hidden Cobra, связана с Бюро 121, кибершпионским подразделением Северной Кореи. Группа использует продвинутые техники, включая создание фальшивых сайтов криптовалют и отправку вредоносных предложений о работе или криптовалютных кошельков, чтобы обмануть жертв.
Chromium – это проект веб-браузера с открытым исходным кодом, который служит основой для Google Chrome, включающего дополнительные собственные функции и услуги. Поскольку Chrome построен на кодовой базе Chromium, уязвимости в Chromium обычно также затрагивают Chrome.
Когда цель подключалась к домену voyagorclub[.]space, использовался эксплойт нулевого дня, что приводило к загрузке вредоносного ПО и выходу из песочницы безопасности Windows. Несмотря на то, что Microsoft устранила уязвимость 13 августа, не было прямой связи с действиями Citrine Sleet, что может свидетельствовать о том, что уязвимость могла быть обнаружена разными группами одновременно или через совместную разведку.
Microsoft рекомендовала:
Эксплойты нулевого дня требуют не только обновления систем, но и решений безопасности, которые предоставляют единое представление по всей цепочке кибератак для обнаружения и блокировки инструментов злоумышленников и вредоносной активности после компрометации.
Отчет подчеркнул срочную необходимость поддержания систем в актуальном состоянии и внедрения продвинутых протоколов безопасности для защиты от сложных киберугроз, особенно в криптовалютном секторе. Microsoft подчеркнула необходимость быстрого обновления как операционных систем, так и приложений, рекомендуя: “Держите операционные системы и приложения в актуальном состоянии. Применяйте патчи безопасности как можно скорее.” Также было рекомендовано проверить, что их “веб-браузер Google Chrome обновлен до версии 128.0.6613.84 или более поздней.”
Что вы думаете об обнаружении северокорейской кибергруппы, использующей уязвимость нулевого дня в Chromium? Дайте нам знать в разделе комментариев ниже.
