Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

0Day в Chrome используется корейскими хакерами для охоты на криптокошельки

03/09/24

hack162-1

Северокорейские хакеры эксплуатируют уязвимость нулевого дня в Google Chrome, чтобы получить контроль над системами и захвата контроля над криптоактивами жертв, пишет Securitylab.

Специалисты Microsoft подтвердили, что группа Citrine Sleet (ранее DEV-0139) использовала zero-day CVE-2024-7971 для внедрения руткита FudModule после получения привилегий SYSTEM с помощью эксплойта в ядре Windows. Основной целью атак является криптовалютный сектор, где хакеры стремятся получить финансовую выгоду. Группировка Citrine Sleet уже давно известна своими атаками на финансовые учреждения, а также конкретно на криптовалютные организации и их сотрудников. Ранее хакеры были связаны с разведкой Северной Кореи.

Citrine Sleet (AppleJeus, Labyrinth Chollima, UNC4736) неоднократно использовала поддельные веб-сайты, маскирующиеся под легитимные платформы для торговли криптовалютой. Хакеры заражали системы жертв через фальшивые заявки на работу или через поддельные кошельки и торговые приложения. Например, в марте 2023 года UNC4736 скомпрометировала цепочку поставок программы для видеоконференций 3CX, в результате чего было взломано программное обеспечение X_TRADER, предназначенное для автоматизации биржевой торговли.

Google Threat Analysis Group (TAG) также подтвердила связь группировки AppleJeus с компрометацией сайта Trading Technologies. Американское правительство уже несколько лет предупреждает о рисках, связанных с северокорейскими хакерами, которые атакуют криптовалютные компании и их сотрудников с помощью вредоносного ПО AppleJeus.

Неделю назад Google устранила уязвимость нулевого дня CVE-2024-7971, которая заключалась в ошибке «Type Confusion» в движке V8 JavaScript, используемом в Chrome. Ошибка позволяла злоумышленникам удаленно выполнять код в песочнице браузера Chromium, после чего атакующие могли использовать браузер для загрузки эксплойта CVE-2024-38106 в ядре Windows. Атака позволяет хакерам получить права SYSTEM и внедрить в память руткит FudModule, который используется для манипуляции объектами ядра и обхода механизмов безопасности.

С момента своего обнаружения в октябре 2022 года, руткит FudModule также применялся другой северокорейской хакерской группой — Diamond Sleet, которая использует аналогичные инструменты и инфраструктуру для атак. В августе 2024 года Microsoft выпустила обновление безопасности, устраняющее уязвимость CVE-2024-38193 в драйвере AFD.sys, которая также использовалась Diamond Sleet в атаках.

Microsoft также подчеркнула, что одна из организаций, на которые была направлена атака с использованием уязвимости CVE-2024-7971, ранее подвергалась нападению другой северокорейской группировки — BlueNoroff (Sapphire Sleet). 

Темы:MicrosoftПреступленияGoogle ChromeКНДРкриптокошельки
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...