Microsoft identifiziert nordkoreanische Kryptowährungsdiebe hinter Zero-Day-Remote-Code-Exploitation in Google Chrome
Kürzlich enthüllte das Threat Intelligence Team von Microsoft, dass ein bekannter nordkoreanischer Bedrohungsakteur hinter der Ausnutzung einer kritischen Chrome-Schwachstelle zur Remote-Code-Ausführung steckte. Diese Schwachstelle, die Google am 21. August 2024 gepatcht hat, wurde über eine Typverwirrungsschwachstelle in der Chromium V8 JavaScript- und WebAssembly-Engine ausgenutzt. Die Schwachstelle mit der Bezeichnung CVE-2024-7971 ist der siebte derartige Chrome-Zero-Day-Exploit, der in diesem Jahr entdeckt wurde.
Inhaltsverzeichnis
Nordkoreanische Hacker nutzen Chrome-Sicherheitslücke für finanziellen Gewinn aus
Laut Microsoft wird die Ausnutzung von CVE-2024-7971 einer nordkoreanischen Gruppe namens „Citrine Sleet“ zugeschrieben. Diese Gruppe hat in der Vergangenheit Finanzinstitute und Einzelpersonen, die Kryptowährungen verwalten, ins Visier genommen, um erhebliche finanzielle Gewinne zu erzielen. Der Bericht von Microsoft deutet darauf hin, dass Citrine Sleet Zero-Day-Exploits verwendet hat, um Remote-Code auszuführen, wodurch sie die Computer der Opfer infiltrieren und ein ausgeklügeltes Rootkit installieren konnten.
Die Angriffe wurden erstmals am 19. August 2024 beobachtet, als nordkoreanische Hacker ihre Opfer auf eine kompromittierte Domain umleiteten. Diese Domain war darauf ausgelegt, Browser-Exploits zur Remotecodeausführung bereitzustellen, die es den Angreifern letztendlich ermöglichten, die Kontrolle über die Zielsysteme zu erlangen. Im Inneren setzten die Hacker das FudModule-Rootkit ein, eine Schadsoftware, die zuvor mit einer anderen nordkoreanischen APT-Gruppe (Advanced Persistent Threat) in Verbindung gebracht wurde.
Citrin-Schneeregen und seine Verbindungen
Citrine Sleet, der Name, den Microsoft dieser Gruppe gegeben hat, wird auch von anderen Cybersicherheitsorganisationen unter verschiedenen Decknamen verfolgt, darunter AppleJeus , Labyrinth Chollima, UNC4736 und Hidden Cobra . Diese Decknamen weisen auf die Zugehörigkeit der Gruppe zum Büro 121 des nordkoreanischen Generalbüros für Aufklärung hin, einer berüchtigten Cyberkriegseinheit, die für die Orchestrierung groß angelegter Cyberangriffe bekannt ist.
Schutz vor solchen Bedrohungen
Angesichts der zunehmenden Cyberbedrohungen, die auf den Kryptowährungssektor abzielen, ist es für Einzelpersonen und Organisationen von entscheidender Bedeutung, wachsam zu bleiben. Die rechtzeitige Identifizierung der Aktivitäten von Citrine Sleet durch Microsoft unterstreicht, wie wichtig es ist, die Software auf dem neuesten Stand zu halten und robuste Sicherheitsmaßnahmen zum Schutz vor ausgeklügelten Angriffen einzusetzen.
Da sich Cyberbedrohungen ständig weiterentwickeln, insbesondere solche, die mit staatlich geförderten Akteuren wie Citrine Sleet in Verbindung stehen, ist ein proaktiver Ansatz zur Cybersicherheit unerlässlich. Um sich gegen diese allgegenwärtigen Gefahren zu verteidigen, ist es wichtig, über die neuesten Schwachstellen und deren Exploits, wie etwa CVE-2024-7971 in Google Chrome, auf dem Laufenden zu bleiben.