Na pytanie postawione w tytule odpowiada twierdząco zespół ds. analizy zagrożeń Microsoft. Twierdzą oni, że znany północnokoreański aktor zagrożeń jest odpowiedzialny za wykorzystanie luki umożliwiającej zdalne wykonanie kodu w Chrome, załatanej przez Google na początku tego miesiąca.
O problemach tej popularnej przeglądarki pisaliśmy na Kapitanie wielokrotnie.
Według informacji z Redmond zorganizowany zespół hakerów powiązany z rządem Korei Północnej został przyłapany na używaniu luk typu zero-day przeciwko podatności w silniku Chromium V8 JavaScript i WebAssembly.
Luka, śledzona jako CVE-2024-7971, została załatana przez Google 21 sierpnia i oznaczona jako aktywnie wykorzystywana. Jest to siódma luka typu zero-day wykorzystana w atakach na Chrome w tym roku.
„Oceniamy z dużym przekonaniem, że zaobserwowaną eksploatację luki CVE-2024-7971 można przypisać północnokoreańskiemu aktorowi zagrożeń, który atakuje sektor kryptowalut w celu uzyskania korzyści finansowych” – pisze Microsoft w nowym poście i omawia szczegóły zaobserwowanych ataków.
Firma przypisała ataki grupie hakerskiej o nazwie „Citrine Sleet”, aktywnej w przeszłości.
Celem są instytucje finansowe, w szczególności organizacje i osoby zarządzające kryptowalutą.
Citrine Sleet jest śledzone przez inne firmy zajmujące się bezpieczeństwem i ma przypisane różne nazwy: AppleJeus, Labyrinth Chollima, UNC4736 i Hidden Cobra. Microsoft łączy te aktywności z jednostką 121 północnokoreańskiego Biura Rozpoznania Ogólnego.
W atakach, po raz pierwszy zauważonych 19 sierpnia, północnokoreańscy hakerzy kierowali ofiary do domeny-pułapki obsługującej zdalne wykonywanie kodu w przeglądarce. Po dotarciu na zainfekowaną maszynę Microsoft zaobserwował, że hakerzy wdrażają rootkit FudModule, który był wcześniej używany przez innego północnokoreańskiego aktora APT.
Na zakończenie polecamy artykuł, w którym opisujemy inne metody zarabiania na cyberprzestępczości stosowane przez północnokoreańskie służby.