КНДР нашла очередной способ заработка криптовалюты

Специалисты Microsoft подтвердили, что группа Citrine Sleet (ранее DEV-0139) использовала zero-day CVE-2024-7971 для внедрения руткита FudModule после получения привилегий SYSTEM с помощью эксплойта в ядре Windows. Основной целью атак является криптовалютный сектор, где хакеры стремятся получить финансовую выгоду. Группировка Citrine Sleet уже давно известна своими атаками на финансовые учреждения, а также конкретно на криптовалютные организации и их сотрудников. Ранее хакеры были связаны с разведкой Северной Кореи.

Citrine Sleet (AppleJeus, Labyrinth Chollima, UNC4736) неоднократно использовала поддельные веб-сайты, маскирующиеся под легитимные платформы для торговли криптовалютой. Хакеры заражали системы жертв через фальшивые заявки на работу или через поддельные кошельки и торговые приложения. Например, в марте 2023 года UNC4736 скомпрометировала цепочку поставок программы для видеоконференций 3CX, в результате чего было взломано программное обеспечение X_TRADER, предназначенное для автоматизации биржевой торговли.

Google Threat Analysis Group (TAG) также подтвердила связь группировки AppleJeus с компрометацией сайта Trading Technologies. Американское правительство уже несколько лет предупреждает о рисках, связанных с северокорейскими хакерами, которые атакуют криптовалютные компании и их сотрудников с помощью вредоносного ПО AppleJeus.

Неделю назад Google устранила уязвимость нулевого дня CVE-2024-7971, которая заключалась в ошибке «Type Confusion» в движке V8 JavaScript, используемом в Chrome. Ошибка позволяла злоумышленникам удаленно выполнять код в песочнице браузера Chromium, после чего атакующие могли использовать браузер для загрузки эксплойта CVE-2024-38106 в ядре Windows. Атака позволяет хакерам получить права SYSTEM и внедрить в память руткит FudModule, который используется для манипуляции объектами ядра и обхода механизмов безопасности.

С момента своего обнаружения в октябре 2022 года, руткит FudModule также применялся другой северокорейской хакерской группой — Diamond Sleet, которая использует аналогичные инструменты и инфраструктуру для атак. В августе 2024 года Microsoft выпустила обновление безопасности, устраняющее уязвимость CVE-2024-38193 в драйвере AFD.sys, которая также использовалась Diamond Sleet в атаках.

Microsoft также подчеркнула, что одна из организаций, на которые была направлена атака с использованием уязвимости CVE-2024-7971, ранее подвергалась нападению другой северокорейской группировки — BlueNoroff (Sapphire Sleet). Эти факты свидетельствуют о продолжении активной деятельности северокорейских хакеров, которые не прекращают атаковать важные секторы экономики, стремясь извлечь финансовую выгоду и продвигать свои государственные интересы.