A Citrine Sleet kihasználja a Chromium zero-day hibáját
2024. augusztus 19-én a Microsoft azonosított egy észak-koreai kiberszereplőt, aki a Chromium zero-day sérülékenységét – amelyet CVE-2024-7971 néven azonosítottak – kihasználva távoli kódfuttatásra (RCE) tett szert. A Microsoft nagy bizonyossággal úgy értékeli, hogy a CVE-2024-7971 említett kihasználása egy észak-koreai kiberszereplőnek tulajdonítható, aki a kriptovaluta-szektort célozza meg pénzügyi haszonszerzés céljából. A Microsoft a folyamatban lévő elemzése és a megfigyelt infrastruktúra alapján közepes biztonsággal a Citrine Sleet-nek tulajdonítja ezt a tevékenységet. Bár a telepített FudModule rootkitet a Diamond Sleetnek, egy másik észak-koreai kiberszereplőnek tulajdonították, a Microsoft korábban közös infrastruktúrát és eszközöket azonosított a Diamond Sleet és a Citrine Sleet között, és elemzésük szerint ez a FudModule malware használata lehet a közös pont a két kiberszereplő között.
A CVE-2024-7971 a V8 JavaScript- és WebAssembly-motorban található típuszavaros sérülékenység, amely a Chromium 128.0.6613.84 előtti verzióit érinti. A sérülékenység kihasználása lehetővé teheti a kiberszereplők számára, hogy RCE-t szerezzenek a homokozóban lévő Chromium renderelő folyamatában. A Google 2024. augusztus 21-én kiadta a sérülékenység javítását. A CVE-2024-7971 a CVE-2024-4947 és a CVE-2024-5274 után a harmadik olyan V8-típuszavar sérülékenység, amelyet idén javítottak a V8-ban. Mint minden megfigyelt nemzetállami szereplői tevékenység esetén, a Microsoft közvetlenül értesítette a célzott vagy kompromittált ügyfeleket, és fontos információkat szolgáltatott nekik környezetük védelméhez. A Microsoft blogbejegyzésében megosztották a részleteket a Citrine Sleetről és a CVE-2024-7971 kihasználására, a FudModule rootkit telepítésére és a rendszerek kompromittálására használt megfigyelt taktikákról, technikákról és eljárásokról (TTP-k). Továbbá ajánlott enyhítéseket, észlelési részleteket, hunting útmutatást és IOC-kat osztottak meg, hogy segítsék a védőket az ilyen támadások azonosításában, az azokra való reagálásban és az ellenük való védekezés javításában.
