Il 19 agosto 2024, Microsoft ha identificato un attore di minacce nordcoreano che sfrutta una vulnerabilità zero-day nel motore V8 JavaScript e WebAssembly di Chromium, identificata come CVE-2024-7971, per ottenere l’esecuzione di codice remoto (RCE) attribuita con alta probabilità all’attore di minacce noto come Citrine Sleet, noto per prendere di mira il settore delle criptovalute per guadagni finanziari.
Dettagli sulla Vulnerabilità CVE-2024-7971
CVE-2024-7971 è una vulnerabilità di confusione di tipo nel motore V8, che colpisce le versioni di Chromium precedenti alla 128.0.6613.84. L’exploit permette agli attori di minacce di ottenere l’esecuzione di codice remoto nel processo del renderer sandbox di Chromium. Google ha rilasciato una correzione per questa vulnerabilità il 21 agosto 2024, e gli utenti dovrebbero assicurarsi di utilizzare l’ultima versione di Chromium per proteggersi da questa minaccia.
Attività dell’attore di minacce Citrine Sleet
Citrine Sleet è un gruppo di minacce nordcoreano che prende di mira principalmente istituzioni finanziarie e individui che gestiscono criptovalute, utilizzando tecniche di social engineering sofisticate. Il gruppo crea falsi siti web che imitano piattaforme di trading di criptovalute legittime e distribuisce applicazioni dannose per compromettere i dispositivi delle vittime. Una volta che una vittima è collegata a un dominio controllato da Citrine Sleet, viene servito l’exploit zero-day RCE per CVE-2024-7971.
Dopo che l’exploit RCE ha raggiunto l’esecuzione del codice, viene scaricato e caricato in memoria il rootkit FudModule, insieme a un exploit di fuga dalla sandbox di Windows per la vulnerabilità CVE-2024-38106. Questo rootkit utilizza tecniche avanzate di manipolazione degli oggetti del kernel per compromettere i meccanismi di sicurezza del sistema.
Raccomandazioni di Sicurezza
Per mitigare l’impatto di questa minaccia, Microsoft raccomanda di mantenere i sistemi operativi e le applicazioni aggiornati, applicando immediatamente le patch di sicurezza disponibili. È inoltre consigliabile utilizzare soluzioni di sicurezza che offrano visibilità unificata attraverso la catena di attacchi informatici per rilevare e bloccare gli strumenti degli attaccanti e le attività malevole post-compromissione.
Le aziende sono invitate a configurare Microsoft Defender per Endpoint per migliorare la protezione, abilitare la protezione di rete e configurare le funzionalità di risposta automatica alle minacce per ridurre il volume degli allarmi e migliorare la sicurezza complessiva.
