Hacker nordcoreani hanno sfruttato un bug zero-day di Google Chrome per installare un rootkit, in un attacco mirato ai settori finanziari e alle organizzazioni di criptovalute. Questo attacco è stato eseguito utilizzando una vulnerabilità nel kernel di Windows, permettendo agli attaccanti di ottenere privilegi di sistema e installare il rootkit FudModule.
Dettagli dell’attacco
Gli hacker nordcoreani hanno sfruttato una vulnerabilità di tipo confusione nel motore JavaScript V8 di Chrome, identificata come CVE-2024-7971. Questa vulnerabilità ha permesso agli attaccanti di eseguire codice remoto nel processo renderer sandboxed di Chromium, consentendo loro di scaricare un exploit per il kernel di Windows. Successivamente, il rootkit FudModule è stato caricato in memoria, permettendo agli attaccanti di manipolare oggetti diretti del kernel (DKOM) e di bypassare le meccaniche di sicurezza del kernel.
Gruppo di hacker
Il gruppo di hacker nordcoreani coinvolto in questo attacco è noto come Citrine Sleet, che è parte di una rete più ampia di gruppi di hacker nordcoreani. Citrine Sleet è specializzato nel targettare le istituzioni finanziarie e le organizzazioni di criptovalute, con l’obiettivo di ottenere guadagni finanziari. Questo gruppo è stato precedentemente collegato a Bureau 121 del Bureau Generale di Spionaggio della Corea del Nord.
Metodi di attacco
Gli hacker nordcoreani utilizzano vari metodi per attaccare le loro vittime. Creano siti web falsi che imitano piattaforme di trading di criptovalute legittime, utilizzando questi siti per distribuire applicazioni di lavoro false o wallet di criptovalute armate. Questi attacchi sono parte di una campagna più ampia di cybercriminalità mirata ai settori finanziari e alla criptovaluta.
Prevenzione e Sicurezza
Per evitare attacchi simili, è essenziale mantenere i sistemi operativi e i browser aggiornati con le patch più recenti. Inoltre, è importante utilizzare antivirus e software di sicurezza aggiornati, che possono rilevare e bloccare attacchi come questo. Gli utenti devono anche essere cauti quando visitano siti web sconosciuti e non cliccare su link o scaricare file da fonti sospette.
Gli attacchi di Citrine Sleet e altri gruppi di hacker nordcoreani continuano a rappresentare una minaccia significativa per le organizzazioni finanziarie e di criptovalute. È essenziale che queste organizzazioni mantengano le loro difese di sicurezza aggiornate e che gli utenti siano consapevoli dei metodi di attacco utilizzati da questi gruppi.
Suggerimenti e Consigli
- Aggiornamenti di Sicurezza: Assicurarsi di installare gli aggiornamenti di sicurezza più recenti per i sistemi operativi e i browser.
- Software di Sicurezza: Utilizzare antivirus e software di sicurezza aggiornati per rilevare e bloccare attacchi.
- Cautela Online: Non cliccare su link o scaricare file da fonti sospette.
- Monitoraggio Continuo: Monitorare costantemente i sistemi per rilevare eventuali attacchi e rispondere tempestivamente.
