قام القراصنة الكوريون الشماليون بتوظيف ثغرة اليوم الصفر في كروميوم لاستهداف قطاع العملات المشفرة

تقوم جهة تهديد كورية شمالية بتوظيف ثغرة أمنية غير مكتشفة سابقًا في Chromium لاستهداف المنظمات المتعلقة بالعملات المشفرة للحصول على أرباح مالية، وفقًا لـتقرير نُشر اليوم بواسطة Microsoft.

تُتيح الثغرة الأمنية، المعروفة باسم CVE-2024-7971، للمهاجمين تنفيذ كود عن بُعد على الأنظمة المُخترقة.

أرجعت مايكروسوفت الهجوم إلى Citrine Sleet، وهو عامل تهديد كوري شمالي معروف بتوجيهه هجماته أساسًا ضد المؤسسات المالية، وخاصة تلك المتعلقة بالعملات المشفرة. تشارك الجماعة في إجراء استطلاع واسع النطاق لقطاع العملات المشفرة، وتستخدم تكتيكات الهندسة الاجتماعية المتطورة.

تشمل هذه التكتيكات إنشاء مواقع وهمية تحاكي منصات التداول الشرعية للعملات المشفرة لتوزيع البرمجيات الخبيثة، مثل طلبات العمل الوهمية أو محافظ العملات المشفرة المسلحة.

تتضمن سلسلة الهجوم استغلال ثغرة Chromium، وتنفيذ كود خبيث، ونشر روتكيت FudModule. هذا الروتكيت هو قطعة برمجية معقدة من البرامج الخبيثة يمكنها تجنب الكشف ومنح المهاجمين امتيازات مرتفعة على الأنظمة المخترقة.

لقد كان قيد الاستخدام منذ عام 2021، حيث استغل أقدم نموذج له البرامج التشغيلية الضعيفة للحصول على الوصول من الإدارة إلى النواة، وهي تقنية تعرف بـ “أحضر برنامج تشغيلك الضعيف”.

يشير البرنامج الخبيث FudModule المستخدم سابقاً من قبل Diamond Sleet، وهو ممثل آخر للتهديدات الكورية الشمالية، إلى إمكانية مشاركة الأدوات أو البنى التحتية بين الفريقين، كما أفادت مايكروسوفت.

للتخفيف من الخطر، توصي مايكروسوفت بتحديث الأنظمة بأحدث التصحيحات الأمنية، وتمكين ميزات الحماية من التلاعب والحماية الشبكية لـ Microsoft Defender للنقاط الطرفية، وتشغيل EDR في وضع الحظر. بالإضافة إلى ذلك، يجب أن يكون العملاء متيقظين تجاه النشاطات المشبوهة والإبلاغ عن أي حوادث غير عادية لفرق الأمن الخاصة بهم.

بالإضافة إلى ذلك، توفر مايكروسوفت إرشادات تحديد مفصلة واستعلامات بحث للعملاء للتعرف على والتعامل مع التهديدات ذات الصلة في شبكاتهم.