Северокорейские хакеры использовали 0-day в Chrome для кражи криптовалюты

Microsoft сообщила, что хакерская группировка воспользовалась уязвимостью нулевого дня в Google Chrome для кражи криптовалюты. По данным компании, с высокой степенью уверенности атаку можно приписать северокорейским хакерам — скорее всего, группировке Citrine Sleet, которая специализируется на финансовых махинациях в криптовалютном секторе.

Что за уязвимость

Речь идёт о баге типа «путаница типов» (type confusion) в движке V8, который отвечает за исполнение JavaScript и WebAssembly в Chrome. Проблема затрагивала все версии Chromium до 128.0.6613.84 и получила идентификатор CVE-2024-7971.

Microsoft обнаружила следы эксплуатации уязвимости 19 августа. Google отреагировала быстро: спустя два дня вышло обновление браузера с исправлением. По словам Microsoft, это уже третья уязвимость типа «путаница типов» в V8, которую компания-разработчик закрыла в 2024 году, — до этого были найдены и устранены CVE-2024-4947 и CVE-2024-5274.

Microsoft уведомила «целевых и скомпрометированных клиентов», передав им информацию, необходимую для защиты систем, но не раскрыла, кто именно стал жертвой кампании.

Кто стоит за атакой

Группировку, которую Microsoft отслеживает под именем Citrine Sleet, компания связывает с Северной Кореей. Основная цель хакеров — финансовые организации, а внутри этой ниши особый интерес представляют компании и частные лица, работающие с криптовалютой.

Схема атак строится на социальной инженерии: злоумышленники создают поддельные сайты, маскирующиеся под легитимные платформы для торговли криптовалютой, и с их помощью распространяют фейковые вакансии либо предлагают скачать криптокошелёк или торговое приложение, скопированное с официального. Для непосредственного взлома группировка использует собственную троянскую программу AppleJeus, которая собирает данные, нужные для перехвата контроля над криптовалютными активами жертвы.

Источник: 3DNews.