Компанія Microsoft оприлюднила тривожну інформацію про нову хвилю кібератак, спрямованих на криптовалютний сектор. За даними експертів, північнокорейські хакери використовують нещодавно виявлену уразливість нульового дня в браузері Google Chrome (CVE-2024-7971) для розгортання небезпечного руткіта FudModule. Ця кампанія демонструє зростаючу витонченість кіберзлочинців та підкреслює необхідність постійної пильності в сфері цифрової безпеки.
Анатомія атаки: від Chrome до ядра Windows
Процес атаки складається з декількох етапів, кожен з яких демонструє високий рівень технічної майстерності зловмисників:
- Експлуатація уразливості CVE-2024-7971 в JavaScript-рушії V8 браузера Chrome.
- Віддалене виконання коду в процесі рендерингу Chromium-браузерів.
- Використання експлойта для уразливості CVE-2024-38106 в ядрі Windows для підвищення привілеїв.
- Завантаження та активація руткіта FudModule для маніпуляцій з ядром системи.
Ця послідовність дій дозволяє хакерам отримати повний контроль над цільовою системою, обходячи стандартні механізми захисту.
Група Citrine Sleet: нова загроза для фінансового сектору
Microsoft з високою ймовірністю приписує ці атаки угрупованню Citrine Sleet, також відомому як DEV-0139, AppleJeus, Labyrinth Chollima та UNC4736. Ця група спеціалізується на атаках на фінансові установи, особливо в криптовалютній сфері. Їхня мета – отримання фінансової вигоди шляхом компрометації критично важливих систем та викрадення цифрових активів.
Історія атак Citrine Sleet
Група Citrine Sleet має історію складних атак на ланцюжки поставок. Наприклад, у березні 2023 року вони успішно заразили троянською програмою десктопний клієнт 3CXDesktopApp, використовуючи його для подальшого поширення шкідливого ПЗ серед клієнтів компанії. Ця атака стала можливою завдяки попередньому компрометуванню Trading Technologies, компанії, що спеціалізується на автоматизації біржової торгівлі.
Технічні деталі уразливості CVE-2024-7971
Уразливість CVE-2024-7971 в Chrome була виявлена спеціалістами Microsoft Threat Intelligence Center (MSTIC) та Microsoft Security Response Center (MSRC). Вона відноситься до типу “type confusion” і була виправлена в середині серпня 2024 року. Експлуатація цієї уразливості дозволяла хакерам виконувати довільний код в процесі рендерингу браузера, що є критичним першим кроком у складній ланцюжку атаки.
Роль FudModule у кібератаках
Руткіт FudModule, який використовується в цих атаках, вперше був виявлений у жовтні 2022 року. Він надає зловмисникам можливість втручатися в роботу ядра операційної системи та маніпулювати його об’єктами, що дозволяє обходити стандартні механізми захисту. Цей інструмент демонструє високий рівень технічної складності та є спільним ресурсом для кількох північнокорейських хакерських груп.
Ця серія кібератак підкреслює важливість своєчасного оновлення програмного забезпечення та впровадження комплексних заходів кібербезпеки. Організаціям, особливо в фінансовому та криптовалютному секторах, рекомендується посилити свої системи захисту, регулярно проводити аудити безпеки та навчати персонал розпізнавати та протидіяти сучасним кіберзагрозам. Лише комплексний підхід до кібербезпеки може забезпечити надійний захист від таких складних та цілеспрямованих атак.
