Hacker Nordcoreani Sfruttano il Zero-Day di Chromium per Colpire il Settore delle Criptovalute

Un attore della minaccia nordcoreano ha sfruttato una vulnerabilità zero-day in Chromium per prendere di mira le organizzazioni di criptovalute per un guadagno finanziario, secondo un rapporto pubblicato oggi da Microsoft.

La vulnerabilità, identificata come CVE-2024-7971, permette agli aggressori di eseguire codice remoto su sistemi compromessi.

Microsoft ha attribuito l’attacco a Citrine Sleet, un attore di minacce nordcoreano noto per aver preso di mira soprattutto le istituzioni finanziarie, in particolare quelle coinvolte nel settore delle criptovalute. Il gruppo svolge un’ampia ricognizione nel settore delle criptovalute e utilizza tattiche sofisticate di ingegneria sociale.

Queste tattiche includono la creazione di siti web falsi che imitano le piattaforme di trading di criptovalute legittime per distribuire software dannoso, come false domande di lavoro o portafogli di criptovalute armati.

La catena di attacchi ha coinvolto lo sfruttamento della vulnerabilità di Chromium, l’esecuzione di codice maligno e l’implementazione del rootkit FudModule. Questo rootkit è un sofisticato pezzo di malware che può eludere il rilevamento e concedere agli aggressori privilegi elevati sui sistemi compromessi.

È in uso dal 2021, con la sua prima variante che sfrutta i driver vulnerabili per ottenere l’accesso da amministratore a kernel, una tecnica conosciuta come “porta il tuo driver vulnerabile”.

Il rootkit FudModule, precedentemente attribuito a Diamond Sleet, un altro attore minaccioso nordcoreano, suggerisce una possibile condivisione di strumenti o infrastrutture tra i due gruppi, come riportato da Microsoft.

Per mitigare la minaccia, Microsoft raccomanda di aggiornare i sistemi con le ultime patch di sicurezza, di attivare la protezione anti-manomissione e le funzionalità di protezione della rete di Microsoft Defender per Endpoint, e di eseguire EDR in modalità di blocco. Inoltre, i clienti dovrebbero essere vigili di fronte a attività sospette e segnalare qualsiasi evento insolito ai loro team di sicurezza.

Inoltre, Microsoft fornisce una guida dettagliata per il rilevamento e query di ricerca per permettere ai clienti di identificare e rispondere alle minacce correlate all’interno delle loro reti.