Czy za atakiem zero-day w Chrome stoją północnokoreańscy złodzieje kryptowalut?

O problemach tej popularnej przeglądarki pisaliśmy na Kapitanie wielokrotnie.

Według informacji z Redmond zorganizowany zespół hakerów powiązany z rządem Korei Północnej został przyłapany na używaniu luk typu zero-day przeciwko podatności w silniku Chromium V8 JavaScript i WebAssembly.

Luka, śledzona jako CVE-2024-7971, została załatana przez Google 21 sierpnia i oznaczona jako aktywnie wykorzystywana. Jest to siódma luka typu zero-day wykorzystana w atakach na Chrome w tym roku.

„Oceniamy z dużym przekonaniem, że zaobserwowaną eksploatację luki CVE-2024-7971 można przypisać północnokoreańskiemu aktorowi zagrożeń, który atakuje sektor kryptowalut w celu uzyskania korzyści finansowych” – pisze Microsoft w nowym poście i omawia szczegóły zaobserwowanych ataków.

Firma przypisała ataki grupie hakerskiej o nazwie „Citrine Sleet”, aktywnej w przeszłości.

Celem są instytucje finansowe, w szczególności organizacje i osoby zarządzające kryptowalutą.

Citrine Sleet jest śledzone przez inne firmy zajmujące się bezpieczeństwem i ma przypisane różne nazwy: AppleJeus, Labyrinth Chollima, UNC4736 i Hidden Cobra. Microsoft łączy te aktywności z jednostką 121 północnokoreańskiego Biura Rozpoznania Ogólnego.

W atakach, po raz pierwszy zauważonych 19 sierpnia, północnokoreańscy hakerzy kierowali ofiary do domeny-pułapki obsługującej zdalne wykonywanie kodu w przeglądarce. Po dotarciu na zainfekowaną maszynę Microsoft zaobserwował, że hakerzy wdrażają rootkit FudModule, który był wcześniej używany przez innego północnokoreańskiego aktora APT.

Na zakończenie polecamy artykuł, w którym opisujemy inne metody zarabiania na cyberprzestępczości stosowane przez północnokoreańskie służby.