Hakerzy z Korei Północnej Wykorzystują Dzień Zero Chromium do Ataku na Sektor Kryptowalut

Północnokoreański podmiot groźby wykorzystuje lukę zero-day w Chromium, aby atakować organizacje kryptowalutowe w celu zdobycia finansowych korzyści – wynika z raportu opublikowanego dzisiaj przez Microsoft.

Podatność, zidentyfikowana jako CVE-2024-7971, pozwala atakującym na zdalne wykonanie kodu na skompromitowanych systemach.

Microsoft przypisał atak Citrine Sleet, zagrożeniu z północnej Korei, które jest znane przede wszystkim z ataków na instytucje finansowe, szczególnie te zajmujące się kryptowalutami. Grupa ta prowadzi dogłębne rozpoznanie sektora kryptowalut i stosuje zaawansowane taktyki inżynierii społecznej.

Taktyki te obejmują tworzenie fałszywych stron internetowych, które naśladują prawdziwe platformy do handlu kryptowalutami, aby dystrybuować złośliwe oprogramowanie, takie jak fałszywe aplikacje o pracę czy zainfekowane portfele kryptowalut.

Łańcuch ataku polegał na wykorzystaniu podatności Chromium, wykonaniu złośliwego kodu i wdrożeniu rootkita FudModule. Ten rootkit to zaawansowany rodzaj złośliwego oprogramowania, który potrafi uniknąć wykrycia i zapewnić atakującym podwyższone uprawnienia na skompromitowanych systemach.

Jest on używany od 2021 roku, a jego najwcześniejsza odmiana wykorzystywała podatne sterowniki do uzyskania dostępu od admina do jądra, techniki znanej jako „przynieś swój własny podatny sterownik”.

Rootkit FudModule, wcześniej przypisywany Diamond Sleet, innemu północnokoreańskiemu groźnemu aktorowi, sugeruje potencjalne dzielenie się narzędziami lub infrastrukturą między dwiema grupami, jak podaje Microsoft.

Aby zminimalizować zagrożenie, Microsoft zaleca aktualizację systemów najnowszymi poprawkami bezpieczeństwa, włączenie funkcji ochrony przed manipulacją i ochrony sieci w Microsoft Defender dla Endpoint, oraz uruchamianie EDR w trybie blokowania. Dodatkowo, klienci powinni być czujni na podejrzane aktywności i zgłaszać wszelkie niezwykłe zdarzenia swoim zespołom bezpieczeństwa.

Dodatkowo, Microsoft dostarcza szczegółowe wskazówki dotyczące wykrywania oraz zapytania poszukiwawcze, które pozwalają klientom na identyfikację i reagowanie na powiązane zagrożenia w ich sieciach.