Компания Microsoft недавно раскрыла информацию о том, что северокорейские хакеры активно эксплуатируют недавно исправленную уязвимость нулевого дня в браузере Google Chrome (CVE-2024-7971) для проведения атак на криптовалютный сектор. Эта уязвимость использовалась злоумышленниками для развертывания опасного руткита FudModule, что представляет серьезную угрозу для кибербезопасности финансовых организаций.
Детали атаки и используемые уязвимости
По данным Microsoft, хакерская группировка Citrine Sleet (также известная как DEV-0139, AppleJeus, Labyrinth Chollima и UNC4736) стоит за этими атаками. Злоумышленники использовали сложную цепочку эксплойтов, включающую уязвимость CVE-2024-7971 в JavaScript-движке V8 браузера Chrome и уязвимость CVE-2024-38106 в ядре Windows. Эта комбинация позволила хакерам преодолеть защиту песочницы браузера и получить привилегии уровня SYSTEM на атакуемых системах.
Механизм атаки
Атака начиналась с того, что жертвы попадали на вредоносный сайт voyagorclub[.]space. Уязвимость в Chrome позволяла злоумышленникам выполнить произвольный код в процессе рендеринга браузера. После этого использовался эксплойт для уязвимости в ядре Windows, что давало возможность повысить привилегии до уровня SYSTEM. Наконец, на скомпрометированную систему загружался руткит FudModule, который позволял обходить защитные механизмы операционной системы.
Группировка Citrine Sleet и ее цели
Citrine Sleet известна своими атаками на финансовые учреждения, особенно в криптовалютном секторе. Эксперты Microsoft с высокой степенью уверенности утверждают, что целью этих атак было получение финансовой выгоды. Группировка имеет историю сложных атак на цепочки поставок, как, например, недавний инцидент с компанией 3CX, где был скомпрометирован популярный десктопный клиент для распространения вредоносного ПО.
Связь с другими северокорейскими хакерскими группами
Интересно отметить, что руткит FudModule, использованный в этих атаках, ранее применялся другой северокорейской группировкой — Diamond Sleet. Это указывает на возможную связь или обмен инструментами между различными хакерскими группами, поддерживаемыми Северной Кореей. Более того, некоторые из атакованных организаций ранее уже становились целями другой северокорейской группы — BlueNoroff (Sapphire Sleet), что подчеркивает систематический характер этих кибератак.
Меры защиты и рекомендации
Для защиты от подобных атак критически важно своевременно устанавливать обновления безопасности. Microsoft выпустила патчи для уязвимости в Windows в рамках августовского «вторника обновлений». Также рекомендуется обновить браузер Chrome до последней версии, чтобы закрыть уязвимость CVE-2024-7971. Организациям, особенно в финансовом и криптовалютном секторах, следует усилить мониторинг своих сетей на предмет подозрительной активности и использовать многоуровневые системы защиты.
Этот инцидент еще раз подчеркивает важность постоянной бдительности в вопросах кибербезопасности. Северокорейские хакерские группы продолжают совершенствовать свои методы и инструменты, представляя серьезную угрозу для финансовых организаций во всем мире. Только комплексный подход к безопасности, включающий регулярные обновления, обучение персонала и использование передовых технологий защиты, может обеспечить адекватный уровень защиты от подобных целенаправленных атак.