Дослідники кібербезпеки Microsoft виявили вразливість нульового дня в Chromium, движку, який працює у веб-браузері Chrome та інших, якою скористалася північнокорейська хакерська група, яку вони називають Citrine Sleet. Уразливість була виправлена 21 серпня, тому користувачам важливо оновити свої браузери.
Microsoft визначила Citrine Sleet із «середньою впевненістю». Відомо, що група націлена на сектор криптовалют і є розробником шкідливого трояна AppleJeus, який також використовувався хакерами Lazarus Group.
Третя вразливість нульового дня в цьому році
Корпорація Майкрософт повідомила цільових і скомпрометованих клієнтів, але не повідомляє, скільки клієнтів постраждало. Це була третя використана вразливість такого типу, яка була виправлена в Chromium цього року. Google, власник двигуна Chromium, виправив уразливість через два дні після повідомлення про неї.
Хакери використовували зловмисне програмне забезпечення руткіта FudModule, щоб досягти віддаленого виконання коду. Для цього вони застосували складну тактику соціальної інженерії:
«Актор загрози створює фальшиві веб-сайти, які маскуються під законні платформи для торгівлі криптовалютою, і використовує їх для розповсюдження фальшивих заявок на роботу або спонукання цілей завантажувати збройний гаманець для криптовалюти або торгову програму на основі законних програм».
Після цього група зазвичай встановлювала AppleJeus, яка збирала інформацію, необхідну для контролю над криптовалютними активами цілі. Версії Chrome до 128.0.6613.84 вразливі до атак.
Пов’язане: виявлено та виправлено критичну помилку в Noble-CCTP від Circle
Хакери протоптали знайомий шлях
Citrine Sleet вперше був помічений у грудні 2022 року, коли Microsoft охрестила його DEV-0139. Тоді він створив фальшиві особи в Telegram, видаючи себе за співробітників криптовалютної біржі OKX. Цілям було запропоновано оцінити документ Excel, який містив точну інформацію про структуру комісій різних бірж, а також шкідливий файл, який створював бекдор до комп’ютера цілі.
Інші дослідники називали вулицю Цитрин Чолліма. Під такою назвою «Лабораторія Касперського» виявила, що вона заразила програмний додаток 3CX, націлений на криптовалютні інвестиційні стартапи за допомогою AppleJeus.
