Microsoft identifie les voleurs de cryptomonnaie nord-coréens à l'origine de l'exploitation du code à distance zero-day de Google Chrome
Récemment, l'équipe de renseignement sur les menaces de Microsoft a révélé qu'un acteur de la menace nord-coréen bien connu était à l'origine de l'exploitation d'une faille critique d'exécution de code à distance dans Chrome. Cette faille, que Google a corrigée le 21 août 2024, a été exploitée via une vulnérabilité de confusion de type dans le moteur JavaScript et WebAssembly de Chromium V8. La vulnérabilité, identifiée comme CVE-2024-7971, est le septième exploit zero-day de ce type détecté cette année dans Chrome.
Table des matières
Des pirates informatiques nord-coréens exploitent une vulnérabilité de Chrome à des fins financières
Selon Microsoft, l'exploitation de la faille CVE-2024-7971 a été attribuée à un groupe nord-coréen connu sous le nom de « Citrine Sleet ». Ce groupe a pour habitude de cibler les institutions financières et les particuliers gérant des cryptomonnaies, dans le but d'en tirer un profit financier substantiel. Le rapport de Microsoft indique que Citrine Sleet a utilisé des exploits zero-day pour exécuter du code à distance, ce qui lui a permis d'infiltrer les machines des victimes et de déployer un rootkit sophistiqué.
Les attaques ont été observées pour la première fois le 19 août 2024, lorsque des pirates informatiques nord-coréens ont dirigé leurs victimes vers un domaine compromis. Ce domaine a été conçu pour fournir des exploits de navigateur d'exécution de code à distance, ce qui a finalement permis aux attaquants de prendre le contrôle des systèmes ciblés. Une fois à l'intérieur, les pirates ont déployé le rootkit FudModule, un logiciel malveillant précédemment associé à un autre groupe de menaces persistantes avancées (APT) nord-coréen.
La grêle citrine et ses affiliations
Citrine Sleet, le nom donné par Microsoft à ce groupe, est également surveillé par d'autres organisations de cybersécurité sous différents pseudonymes, notamment AppleJeus , Labyrinth Chollima, UNC4736 et Hidden Cobra . Ces pseudonymes font référence à l'affiliation du groupe au Bureau 121 du Bureau général de reconnaissance de la Corée du Nord, une unité de cyberguerre connue pour avoir orchestré des cyberattaques à grande échelle.
Se protéger contre de telles menaces
Face à l'augmentation des cybermenaces visant le secteur des cryptomonnaies, il est essentiel que les particuliers et les organisations restent vigilants. L'identification opportune par Microsoft des activités de Citrine Sleet souligne l'importance de maintenir les logiciels à jour et d'utiliser des mesures de sécurité robustes pour se protéger contre les attaques sophistiquées.
Alors que les cybermenaces continuent d’évoluer, en particulier celles liées à des acteurs parrainés par des États comme Citrine Sleet, il est essentiel de maintenir une approche proactive en matière de cybersécurité. Se tenir informé des dernières vulnérabilités et de leurs exploits, comme la CVE-2024-7971 dans Google Chrome, est essentiel pour se défendre contre ces dangers omniprésents.