Исследователи кибербезопасности Microsoft выявили уязвимость нулевого дня в Chromium, движке, на котором работает веб-браузер Chrome и другие, которая была использована северокорейской хакерской группой, которую они называют Citrine Sleet. Уязвимость была исправлена 21 августа, поэтому пользователям важно обновить свои браузеры.
Microsoft определила Citrine Sleet как «среднюю достоверность». Известно, что группа нацелена на сектор криптовалют и является разработчиком вредоносного трояна AppleJeus, который также использовался хакерами Lazarus Group.
Третья уязвимость нулевого дня в году
Microsoft уведомила целевых и скомпрометированных клиентов, но не сообщила, сколько клиентов пострадало. Это третья эксплуатируемая уязвимость такого типа, исправленная в Chromium в этом году. Google, владелец движка Chromium, исправил уязвимость через два дня после сообщения о ней.
Хакеры использовали вредоносный руткит FudModule для удаленного выполнения кода. Для этого они использовали сложную тактику социальной инженерии:
«Злоумышленник создает поддельные веб-сайты, маскирующиеся под законные платформы для торговли криптовалютой, и использует их для распространения поддельных заявлений о приеме на работу или заманивания целей для загрузки криптовалютного кошелька или торгового приложения на основе законных приложений».
После этого группа обычно установила AppleJeus, которая собирала информацию, необходимую для получения контроля над криптовалютными активами цели. Версии Chrome до 128.0.6613.84 уязвимы для атак.
Связанный: Критическая ошибка обнаружена и исправлена в Noble-CCTP от Circle.
Хакеры пошли знакомым путем
Впервые Citrine Sleet был замечен в декабре 2022 года, когда Microsoft назвала его DEV-0139. Тогда он создал в Telegram фальшивые личности, выдавая себя за сотрудников криптовалютной биржи OKX. Объектам было предложено оценить документ Excel, который содержал точную информацию о структурах комиссий различных бирж, а также вредоносный файл, который создавал лазейку в компьютер объекта.
Другие следователи называли Цитрин-стрит Чоллимой. Под этим именем «Лаборатория Касперского» обнаружила, что она заразила приложение для программного телефона 3CX, нацеленное на стартапы по инвестициям в криптовалюту, использующие AppleJeus.