Недавно Microsoft обнаружила северокорейскую кибергруппировку Citrine Sleet, использующую уязвимость в браузерах на базе Chromium, включая Google Chrome. Эта уязвимость позволяла злоумышленникам запускать вредоносный код на взломанных устройствах. Citrine Sleet использовала передовые тактические приемы, такие как поддельные веб-сайты с криптовалютами, для проведения своих атак.
Северокорейская кибергруппа Citrine Sleet использует уязвимость нулевого дня в Chromium
В пятницу Microsoft опубликовала отчет, в котором говорится, что на прошлой неделе она обнаружила северокорейскую кибергруппу Citrine Sleet, использующую уязвимость нулевого дня в браузере Chromium. В этом отчете, опубликованном Microsoft Threat Intelligence и Microsoft Security Response Center (MSRC), уязвимость была идентифицирована как CVE-2024-7971, ошибка, связанная с путаницей типов в движке Javascript версии 8 и Webassembly, используемом Chromium.
Эта уязвимость нулевого дня позволяла выполнять удаленное выполнение кода (RCE) в изолированном процессе визуализации браузеров, что позволяло злоумышленникам запускать вредоносный код на целевых системах. Microsoft заявила, что:
Наш постоянный анализ и наблюдение за инфраструктурой позволяют нам со средней степенью уверенности отнести эту активность к Citrine Sleet.
Citrine Sleet известна своей ориентацией на криптовалютный сектор с целью получения финансовых выгод. Дальнейший анализ показал, что Citrine Sleet может делиться инструментами и инфраструктурой с другой северокорейской группой злоумышленников, Diamond Sleet, в частности, за счет использования руткит-вредоносного ПО Fudmodule. В отчете отмечается, что Citrine Sleet, также известная под другими названиями, такими как Applejeus и Hidden Cobra, связана с Бюро 121, подразделением кибершпионажа Северной Кореи. Группа использует передовые методы, включая создание поддельных криптовалютных сайтов и рассылку вредоносных предложений о работе или криптовалютных кошельков для обмана жертв.
Chromium – это проект веб-браузера с открытым исходным кодом, который служит основой для Google Chrome, который включает в себя дополнительные фирменные функции и сервисы. Поскольку Chrome основан на кодовой базе Chromium, уязвимости в Chromium, как правило, также влияют на Chrome.
Когда цель подключалась к домену voyagorclub[.], был использован эксплойт нулевого дня, что привело к загрузке вредоносного ПО и выходу из изолированной среды безопасности Windows. Несмотря на то, что Microsoft исправила уязвимость 13 августа, прямой связи с действиями Citrine Sleet обнаружено не было, что позволяет предположить, что уязвимость могла быть обнаружена разными группами одновременно или с помощью совместного анализа данных.
Microsoft сообщила:
Эксплойты нулевого дня требуют не только поддержания систем в актуальном состоянии, но и решений для обеспечения безопасности, которые обеспечивают единую видимость всей цепочки кибератак для обнаружения и блокирования инструментов злоумышленников после взлома и вредоносной активности после их использования.
В отчете подчеркивается настоятельная необходимость обновления систем и внедрения передовых протоколов безопасности для защиты от сложных киберугроз, особенно в секторе криптовалют. Microsoft подчеркнула необходимость быстрого обновления как операционных систем, так и приложений, посоветовав: “Поддерживайте операционные системы и приложения в актуальном состоянии. Примените исправления безопасности как можно скорее”. Пользователям также рекомендуется убедиться, что их “веб-браузер Google Chrome обновлен до версии 128.0.6613.84 или более поздней”.
Источник: news.bitcoin.com