Северокорейские хакеры используют уязвимость Chromium Zero-Day для атаки на сектор криптовалют

Угроза от северокорейского актера угроз реализуется через эксплуатацию нулевого дня уязвимости в Chromium для целевого нападения на организации, работающие с криптовалютами, в целях финансовой выгоды, согласно отчету, опубликованному сегодня Microsoft.

Уязвимость, идентифицированная как CVE-2024-7971, позволяет злоумышленникам выполнять удаленное кодирование на скомпрометированных системах.

Microsoft приписывает атаку Citrine Sleet, угрозе из Северной Кореи, известной прежде всего тем, что она целенаправленно атакует финансовые учреждения, особенно те, которые занимаются криптовалютой. Группа проводит тщательное разведывание в секторе криптовалют и применяет изощренные тактики социальной инженерии.

Эти тактики включают создание поддельных веб-сайтов, которые имитируют легитимные платформы для торговли криптовалютой, чтобы распространять вредоносное программное обеспечение, такое как поддельные заявления о приеме на работу или вооруженные кошельки для криптовалюты.

Цепочка атаки включала использование уязвимости Chromium, выполнение вредоносного кода и развертывание руткита FudModule. Этот руткит — сложное вредоносное ПО, которое может уклоняться от обнаружения и предоставлять злоумышленникам повышенные привилегии на скомпрометированных системах.

Он используется с 2021 года, при этом его ранний вариант эксплуатировал уязвимые драйверы для получения доступа от администратора к ядру, техника известная как «привези свой уязвимый драйвер».

Руткит FudModule, ранее приписанный Diamond Sleet, другому угрозовому актору из Северной Кореи, указывает на возможное совместное использование инструментов или инфраструктуры между двуми группами, как сообщает Microsoft.

Для смягчения угрозы, Microsoft рекомендует обновлять системы с последними патчами безопасности, включать защиту от вмешательства и функции сетевой защиты Microsoft Defender для конечных точек, а также работать в EDR в режиме блокировки. Кроме того, клиентам следует быть бдительными в отношении подозрительной активности и сообщать о любых необычных происшествиях своим командам по обеспечению безопасности.

Кроме того, Microsoft предоставляет подробные рекомендации по обнаружению и запросы для поиска, чтобы клиенты могли идентифицировать и реагировать на связанные угрозы в своих сетях.