Thomas Daniëls
Noord-Koreaanse hacking groep Citrine Sleet heeft een significante zero-day kwetsbaarheid in de Chromium browser uitgebuit om cryptovaluta financiële instellingen aan te vallen, aldus Microsoft. De groep gebruikte een geavanceerde strategie door neppe cryptovaluta handelsplatformen te creëren, en slachtoffers te misleiden om kwaadaardige software te downloaden zoals de AppleJeus trojan, ontworpen om digitale activa af te tappen.
De kwetsbaarheid, geïdentificeerd als CVE-2024-7971, is een type verwarringsfout in de V8 JavaScript-engine van Chromium. Deze fout stelde aanvallers in staat om externe code uit te voeren, de browserbeveiliging te omzeilen en controle te krijgen over geïnfecteerde systemen. Microsoft ontdekte de aanval op 19 augustus en koppelde deze aan bredere pogingen om de cryptovaluta-industrie aan te vallen.
Chromium, de engine achter populaire browsers zoals Google Chrome en Microsoft Edge, werd gecompromitteerd door deze zero-day kwetsbaarheid, wat betekent dat hackers de fout hadden gevonden en misbruikt voordat de ontwikkelaars van Chromium deze konden detecteren. Google reageerde door op 21 augustus een patch uit te brengen om de kwetsbaarheid te verhelpen.
Naast het exploiteren van CVE-2024-7971, hebben de aanvallers de 'FudModule'-rootkit ingezet, die Windows-beveiligingsmaatregelen manipuleert. Deze malware is in verband gebracht met een andere Noord-Koreaanse groep, Diamond Sleet, wat duidt op het gebruik van gedeelde geavanceerde tools tussen verschillende Noord-Koreaanse dreigingsactoren. Microsoft heeft Diamond Sleet gevolgd met behulp van FudModule sinds oktober 2021.
De cyberdreiging van Noord-Korea reikt verder dan browserkwetsbaarheden. Op 15 augustus ontdekte cybersecurity-expert ZachXBT een plan waarbij Noord-Koreaanse IT-medewerkers zich voordeden als cryptoontwikkelaars, wat leidde tot de diefstal van $ 1.3 miljoen uit de schatkist van een project. Deze operatie bracht meer dan 25 cryptoprojecten in gevaar, waarbij gestolen geld werd witgewassen via meerdere transacties, waaronder het gebruik van platforms als Solana, Ethereum en Tornado Cash.
De cryptovalutasector, die al kwetsbaar is voor cyberaanvallen, loopt steeds meer risico's nu geavanceerde dreigingsactoren veelgebruikte software blijven misbruiken. Microsoft heeft gebruikers en organisaties aangespoord om hun systemen te updaten, veilige en bijgewerkte webbrowsers te gebruiken en geavanceerde beveiligingsfuncties zoals Microsoft Defender in te schakelen om zich te beschermen tegen dergelijke bedreigingen.
