Microsoft ha scoperto che il gruppo nordcoreano Citrine Sleet ha sfruttato una vulnerabilità di Chrome per eseguire codice remoto e installare il rootkit FudModule sui sistemi Windows. Il bug zero-day era presente nel codice di Chromium. Sia Google che Microsoft hanno già rilasciato le patch per i rispettivi browser.
Descrizione dell’attacco
Citrine Sleet è uno dei numerosi gruppi di cybercriminali collegati al governo nordcoreano che colpiscono organizzazioni occidentali. I principali bersagli sono le istituzioni finanziarie che gestiscono criptovalute. Lo scopo è rubare le monete digitali per finanziare le spese militari.
L’attacco più recente è stato individuato da Microsoft il 19 agosto. Non è stato scoperto come i cybercriminali siano riusciti ad accedere ai sistemi aziendali, ma una delle tattiche usate è l’ingegneria sociale. In pratica, la vittima viene spinta ad aprire un sito infetto con Chrome. La vulnerabilità CVE-2024-7971, presente nel motore JavaScript V8, permette di eseguire codice remoto nel processo di rendering del browser.
Successivamente viene scaricato un exploit che aggira la sandbox di Windows, sfruttando la vulnerabilità CVE-2024-38106 presente nel kernel di Windows. Dopo aver ottenuto i privilegi SYSTEM, i cybercriminali installano il rootkit FudModule che viene caricato in memoria.
Lo stesso rootkit è stato utilizzato da un altro gruppo nordcoreano, ovvero Diamond Sleet, noto principalmente come Lazarus. La patch per la vulnerabilità CVE-2024-38106 è stata rilasciata il 13 agosto. La patch per la vulnerabilità del motore JavaScript V8 è disponibile dal 21 agosto, quindi gli utenti devono installare gli aggiornamenti di Windows e le ultime versioni di Chrome e altri browser basati su Chromium.