Команда по анализу угроз компании Microsoft сообщает, что известная северокорейская хакерская группа ответственна за эксплуатацию уязвимости удаленного выполнения кода в браузере Chrome, которую Google устранил ранее в этом месяце.
Согласно новой информации от Microsoft, организованная группа хакеров, связанная с правительством Северной Кореи, была уличена в использовании эксплойтов нулевого дня для эксплуатации уязвимости путаницы типов в движке JavaScript и WebAssembly Chromium V8.
Эта уязвимость, отслеживаемая как CVE-2024-7971, была исправлена Google 21 августа и помечена как активно эксплуатируемая. Это уже седьмой случай использования уязвимостей нулевого дня в Chrome в атаках в этом году.
«Мы с высокой степенью уверенности полагаем, что выявленная эксплуатация CVE-2024-7971 связана с северокорейским хакерской атакой, которая нацелена на криптовалютный сектор с целью финансовой выгоды», — говорится в новом отчёте Microsoft, описывающем выявленные атаки.
Microsoft приписывает эти атаки группе под названием «Citrine Sleet», ранее пойманной на целенаправленных атаках на финансовые учреждения, особенно на организации и частных лиц, управляющих криптовалютами.
Группу «Citrine Sleet» также отслеживают другие компании по безопасности под названиями AppleJeus, Labyrinth Chollima, UNC4736 и Hidden Cobra. Эта группа связана с Бюро 121, которое является частью северокорейского Главного разведывательного бюро.
В ходе атак, впервые зафиксированных 19 августа, северокорейские хакеры перенаправляли жертв на вредоносный домен, где использовались эксплойты для удаленного выполнения кода через браузер. После успешного заражения системы Microsoft зафиксировала использование руткита FudModule, ранее применявшегося другим северокорейским APT-актером.
Ранее компания Google уже предпринимала попытки исправления багов, анонсируя новую программу Bug Bounty или исправляя уязвимость уязвимость нулевого дня Android.