Nordkoreansk hacking Group Citrine Sleet har udnyttet en betydelig nul-dages sårbarhed i Chromium-browseren til at angribe kryptovaluta-finansielle institutioner, ifølge Microsoft. Gruppen brugte en sofistikeret strategi ved at skabe falske handelsplatforme for kryptovaluta, der narre ofre til at downloade ondsindet software som AppleJeus-trojaneren, designet til at fjerne digitale aktiver.
Sårbarheden, identificeret som CVE-2024-7971, er en form for forvirringsfejl i Chromiums V8 JavaScript-motor. Denne fejl gjorde det muligt for angribere at udføre fjernkode, omgå browsersikkerhed og få kontrol over inficerede systemer. Microsoft opdagede angrebet den 19. august og kædede det sammen med en bredere indsats for at målrette kryptovalutaindustrien.
Chromium, motoren bag populære browsere som Google Chrome og Microsoft Edge, blev kompromitteret af denne nul-dages sårbarhed, hvilket betyder, at hackere havde fundet og udnyttet fejlen, før Chromiums udviklere kunne opdage det. Google reagerede ved at frigive en patch den 21. august for at afhjælpe sårbarheden.
Ud over at udnytte CVE-2024-7971, implementerede angriberne 'FudModule' rootkit, som manipulerer Windows sikkerhedsforanstaltninger. Denne malware er blevet forbundet med en anden nordkoreansk gruppe, Diamond Sleet, hvilket indikerer brugen af delte avancerede værktøjer blandt forskellige nordkoreanske trusselsaktører. Microsoft har sporet Diamond Sleet ved hjælp af FudModule siden oktober 2021.
Cybertruslen fra Nordkorea rækker ud over browsersårbarheder. Den 15. august afslørede cybersikkerhedsekspert ZachXBT en ordning, der involverede nordkoreanske it-arbejdere, der udgav sig for at være kryptoudviklere, hvilket førte til tyveri af $1.3 millioner fra et projekts statskasse. Denne operation kompromitterede over 25 kryptoprojekter og hvidvaskede stjålne midler gennem flere transaktioner, inklusive brugen af platforme som Solana, Ethereum og Tornado Cash.
Kryptovalutasektoren, der allerede er sårbar over for cyberangreb, står over for øgede risici, da sofistikerede trusselsaktører fortsætter med at udnytte udbredt software. Microsoft har opfordret brugere og organisationer til at opdatere deres systemer, bruge sikre og opdaterede webbrowsere og aktivere avancerede sikkerhedsfunktioner som Microsoft Defender for at beskytte mod sådanne trusler.