Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

0Day в Chrome используется корейскими хакерами для охоты на криптокошельки

03/09/24

hack162-1

Северокорейские хакеры эксплуатируют уязвимость нулевого дня в Google Chrome, чтобы получить контроль над системами и захвата контроля над криптоактивами жертв, пишет Securitylab.

Специалисты Microsoft подтвердили, что группа Citrine Sleet (ранее DEV-0139) использовала zero-day CVE-2024-7971 для внедрения руткита FudModule после получения привилегий SYSTEM с помощью эксплойта в ядре Windows. Основной целью атак является криптовалютный сектор, где хакеры стремятся получить финансовую выгоду. Группировка Citrine Sleet уже давно известна своими атаками на финансовые учреждения, а также конкретно на криптовалютные организации и их сотрудников. Ранее хакеры были связаны с разведкой Северной Кореи.

Citrine Sleet (AppleJeus, Labyrinth Chollima, UNC4736) неоднократно использовала поддельные веб-сайты, маскирующиеся под легитимные платформы для торговли криптовалютой. Хакеры заражали системы жертв через фальшивые заявки на работу или через поддельные кошельки и торговые приложения. Например, в марте 2023 года UNC4736 скомпрометировала цепочку поставок программы для видеоконференций 3CX, в результате чего было взломано программное обеспечение X_TRADER, предназначенное для автоматизации биржевой торговли.

Google Threat Analysis Group (TAG) также подтвердила связь группировки AppleJeus с компрометацией сайта Trading Technologies. Американское правительство уже несколько лет предупреждает о рисках, связанных с северокорейскими хакерами, которые атакуют криптовалютные компании и их сотрудников с помощью вредоносного ПО AppleJeus.

Неделю назад Google устранила уязвимость нулевого дня CVE-2024-7971, которая заключалась в ошибке «Type Confusion» в движке V8 JavaScript, используемом в Chrome. Ошибка позволяла злоумышленникам удаленно выполнять код в песочнице браузера Chromium, после чего атакующие могли использовать браузер для загрузки эксплойта CVE-2024-38106 в ядре Windows. Атака позволяет хакерам получить права SYSTEM и внедрить в память руткит FudModule, который используется для манипуляции объектами ядра и обхода механизмов безопасности.

С момента своего обнаружения в октябре 2022 года, руткит FudModule также применялся другой северокорейской хакерской группой — Diamond Sleet, которая использует аналогичные инструменты и инфраструктуру для атак. В августе 2024 года Microsoft выпустила обновление безопасности, устраняющее уязвимость CVE-2024-38193 в драйвере AFD.sys, которая также использовалась Diamond Sleet в атаках.

Microsoft также подчеркнула, что одна из организаций, на которые была направлена атака с использованием уязвимости CVE-2024-7971, ранее подвергалась нападению другой северокорейской группировки — BlueNoroff (Sapphire Sleet). 

Темы:MicrosoftПреступленияGoogle ChromeКНДРкриптокошельки
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...