Microsoft a descoperit că o serie de infractori cibernetici din Coreea de Nord, cunoscuți sub numele de Citrine Sleet, exploatează o vulnerabilitate zero-day în browserul Chromium, identificate ca CVE-2024-7971. Această vulnerabilitate permite execuția de cod la distanță (RCE), permițând atacatorilor să controleze dispozitivele afectate. În special, Citrine Sleet vizează sectorul criptomonedelor pentru câștig financiar.
TL;DR
- O grupare de infractori cibernetici din Coreea de Nord exploatează o vulnerabilitate zero-day în Chromium.
- Identificată ca CVE-2024-7971, această vulnerabilitate permite Remote Code Execution (RCE).
- Citrine Sleet vizează sectorul criptomonedelor.
- Microsoft recomandă actualizarea imediată a browserelor pentru a proteja împotriva acestei amenințări.
Detalii despre exploatare
Echipa Microsoft este sigură că exploatarea CVE-2024-7971 a fost orchestrată de Citrine Sleet. Acest grup utilizează un rootkit numit FudModule, asociat și cu alt grup din Coreea de Nord, Diamond Sleet. Utilizarea infrastructurii și instrumentelor comune sugerează posibilitatea unei colaborări între aceste grupuri.
Citrine Sleet, cunoscut și sub alte nume de către diverse firme de securitate, face parte din Biroul General de Recunoaștere al Coreei de Nord (Reconnaissance General Bureau). Grupul desfășoară acțiuni de recunoaștere extinsă în industria criptomonedelor folosind site-uri web false și inginerie socială pentru a distribui software malițios.
Atacul și măsurile de securitate
Lanțul de atac începe prin redirecționarea țintelor către un domeniu controlat de Citrine Sleet de unde este servit exploitul zero-day RCE. Ulterior, se descarcă și se execută un shellcode pentru a exploata o altă vulnerabilitate (CVE-2024-38106) și a scăpa din sandbox-ul Windows. Rootkit-ul FudModule este încărcat folosind tehnici de manipulare directă a obiectelor din kernel (DKOM).
Versiunile Chromium anterioare versiunii 128.0.6613.84 sunt afectate de CVE-2024-7971. Google a lansat o actualizare pe 21 august 2024 și utilizatorii sunt îndemnați să își actualizeze navigatoarele pentru a se proteja.
Răspunsul și recomandările microsoft
Microsoft a notificat clienții vizați și a furnizat ghiduri detaliate pentru protejarea mediilor lor. Recomandările includ:
- Menținerea sistemelor de operare și aplicațiilor actualizate.
- Aplicarea promptă a patch-urilor de securitate.
- Utilizarea versiunilor actualizate de Google Chrome și Microsoft Edge.
- Activarea funcțiilor de securitate din Microsoft Defender pentru Endpoint și Antivirus.
Exploatarea CVE-2024-7971 de către Citrine Sleet subliniază amenințarea continuă reprezentată de actorii statali care vizează sectorul criptomonedelor. Organizațiile sunt îndemnate să implementeze măsurile recomandate și să rămână vigilente împotriva amenințărilor cibernetice în evoluție.
Ce este o vulnerabilitate zero-day și cum să te protejezi
O vulnerabilitate zero-day este un defect de software necunoscut producătorului în momentul în care este descoperit și exploatat de atacatori. Pentru a vă proteja împotriva unor astfel de vulnerabilități:
- Actualizați frecvent software-ul și sistemele de operare.
- Folosiți soluții de securitate robustă, cum ar fi antivirus și firewall.
- Fiți atenți la e-mailurile și link-urile suspecte.
- Implementați practici de securitate cibernetică solide.
Prin urmarea acestor pași, utilizatorii și organizațiile pot reduce riscurile asociate vulnerabilităților zero-day și altor atacuri cibernetice.
Sursa articolului:
https://cybersecuritynews.com/chromium-zero-day-vulnerability/