Microsoft je otkrio hakera iz Sjeverne Koreje koji iskorištava ranjivost nultog dana u Chromium pretraživaču, identificiranu kao CVE-2024-7971 .
Ova ranjivost, greška u konfuziji tipova u V8 JavaScript i WebAssembly motoru, omogućila je daljinsko izvršavanje koda (RCE) u sandbox-u Chromium renderer procesu.
Haker, poznat kao Citrine Sleet, prvenstveno cilja na sektor kriptovaluta radi finansijske dobiti.
“Uočeni napad nultog dana eksploatacije od strane Citrine Sleeta koristio je tipične faze koje se mogu vidjeti u lancima eksploatacije pretraživača. Prvo, mete su bile usmjerene prema Citrine Sleet kontrolisanoj eksploatskoj domeni voyagorclub[.]prostora .” Microsoft je naveo .
Detalji eksploatacije i atribucija
Microsoftova analiza pripisuje eksploataciju CVE-2024-7971 Citrine Sleet-u sa visokim povjerenjem. Haker je povezan s primjenom FudModule rootkita, koji je također povezan s drugom sjevernokorejskom grupom, Diamond Sleet.
Zajednička infrastruktura i alati između ovih grupa sugerišu moguću suradnju ili zajedničku upotrebu zlonamjernog softvera FudModule.
Citrine Sleet, koje prate druge sigurnosne firme kao što su AppleJeus, Labyrinth Chollima, UNC4736 i Hidden Cobra, dio je Sjevernokorejskog Generalnog biroa za izviđanje.
Grupa provodi opsežno izviđanje industrije kriptovaluta, koristeći lažne web stranice i društveni inženjering za distribuciju zlonamjernog softvera poput trojanca AppleJeus, koji cilja na imovinu kriptovaluta.
Lanac napada počinje usmjeravanjem ciljeva na domenu pod kontrolom Citrine Sleet-a, gdje se servira RCE eksploatacija nultog dana.
Nakon toga slijedi preuzimanje i izvršavanje shell koda, iskorištavanjem druge ranjivosti, CVE-2024-38106, za izbjegavanje Windows sandbox-a.
FudModule rootkit se tada učitava, koristeći tehnike direktne manipulacije objektom jezgre (DKOM) za ometanje sigurnosnih mehanizama.
CVE-2024-7971 utiče na verzije Chromiuma starije od 128.0.6613.84. Google je objavio ispravku za ovu ranjivost 21. avgusta 2024. godine, a korisnici se pozivaju da ažuriraju na najnoviju verziju.
Ovo je treća vrsta ranjivosti zabune koja je zakrpljena u V8 ove godine, nakon CVE-2024-4947 i CVE-2024-5274 .
Microsoftov odgovor i preporuke
Microsoft je obavijestio ciljane kupce i pružio detaljne smjernice kako bi osigurao njihova okruženja. Korisnicima se savjetuje da:
- Održavajte operativne sisteme i aplikacije ažurnim.
- Odmah primijenite sigurnosne zakrpe.
- Koristite ažurirane verzije Google Chrome-a i Microsoft Edge-a.
- Omogućite sigurnosne funkcije u programu Microsoft Defender za krajnju tačku i antivirus.
Eksploatacija CVE-2024-7971 od strane Citrine Sleet-a naglašava stalnu prijetnju koju predstavljaju akteri nacionalnih država koji ciljaju na sektor kriptovaluta. Organizacije se pozivaju da implementiraju preporučene mjere ublažavanja i ostanu na oprezu protiv evoluirajućih sajber prijetnji.
Izvor: CyberSecurityNews