Екипът за разузнаване на заплахите на Microsoft твърди, че известен севернокорейски колектив е отговорен за използването на недостатък в Chrome, свързан с дистанционното изпълнение на код, поправен от Google по-рано този месец.

Според нова документация от Редмънд организиран хакерски екип, свързан с правителството на Северна Корея, е бил хванат да използва експлойти от нулев ден срещу недостатък за объркване на типа в двигателя Chromium V8 JavaScript и WebAssembly.

Уязвимостта, проследена като CVE-2024-7971, е била поправена от Google на 21 август и отбелязана като активно експлоатирана. Това е седмият нулев ден в Chrome, използван при атаки досега през тази година.

„Оценяваме с висока степен на увереност, че наблюдаваното експлоатиране на CVE-2024-7971 може да бъде приписано на севернокорейски киберпрестъпен колектив, насочен към сектора на криптовалутите с цел финансова печалба“, заяви Microsoft в нова публикация с подробности за наблюдаваните атаки.

Microsoft приписва атаките на извършител, наречен общо „Citrine Sleet“, който е бил залавян в миналото

Насочва се към финансови институции, особено към организации и физически лица, които управляват криптовалута.

Citrine Sleet е проследяван от други компании за сигурност като AppleJeus, Labyrinth Chollima, UNC4736 и Hidden Cobra и е приписван на Bureau 121 на Генералното разузнавателно бюро на Северна Корея.

При атаките, забелязани за пръв път на 19 август, севернокорейските хакери насочват жертвите към заложен в капана домейн, в който се предлагат експлойти за отдалечено изпълнение на код в браузъра. След като са попаднали на заразената машина, от Microsoft са забелязали, че нападателите са разгърнали руткита FudModule, които преди това са били използвани от друг севернокорейски APT колектив.