Microsoft, Chromium tarayıcısındaki CVE-2024-7971 olarak tanımlanan sıfır günlük bir güvenlik açığını kullanan bir Kuzey Koreli tehdit aktörünü keşfetti.
V8 JavaScript ve WebAssembly motorundaki bir tür karışıklığı kusuru olan bu güvenlik açığı, korumalı Chromium görüntüleyici sürecinde uzaktan kod yürütmeye (RCE) izin veriyordu.
Citrine Sleet olarak bilinen tehdit aktörü, öncelikle finansal kazanç sağlamak için kripto para sektörünü hedef alıyor.
“Citrine Sleet tarafından gözlemlenen sıfır günlük exploit saldırısı, tarayıcı exploit zincirlerinde görülen tipik aşamaları kullandı. İlk olarak, hedefler Citrine Sleet tarafından kontrol edilen exploit etki alanına yönlendirildi gezgin kulübü[.]uzayMicrosoft, “Bu, 1995’te 10 milyon dolara mal oldu.” dedi.
Kullanım Ayrıntıları ve Atıf
Microsoft’un analizi, CVE-2024-7971’in istismarını yüksek bir güvenle Citrine Sleet’e atfediyor. Tehdit aktörü, bir diğer Kuzey Koreli grup olan Diamond Sleet ile de ilişkilendirilen FudModule kök setinin dağıtımıyla ilişkilendirildi.
Bu gruplar arasında paylaşılan altyapı ve araçlar, FudModule kötü amaçlı yazılımının olası bir işbirliği veya ortak kullanımını düşündürmektedir.
AppleJeus, Labyrinth Chollima, UNC4736 ve Hidden Cobra gibi diğer güvenlik şirketleri tarafından da takip edilen Citrine Sleet, Kuzey Kore Keşif Genel Bürosu’nun bir parçasıdır.
Grup, kripto para birimi sektöründe kapsamlı keşifler yürütüyor, AppleJeus trojan’ı gibi kripto para varlıklarını hedef alan kötü amaçlı yazılımları dağıtmak için sahte web siteleri ve sosyal mühendislik kullanıyor.
Saldırı zinciri, hedeflerin Citrine Sleet tarafından kontrol edilen bir alana yönlendirilmesiyle başlıyor ve burada sıfırıncı gün RCE açığı sunuluyor.
Daha sonra, Windows sanal alanından kaçış için CVE-2024-38106 adlı başka bir güvenlik açığından yararlanan kabuk kodunun indirilmesi ve yürütülmesi gerçekleştirilir.
Daha sonra FudModule rootkit’i yüklenir ve güvenlik mekanizmalarını bozmak için doğrudan çekirdek nesne manipülasyonu (DKOM) teknikleri kullanılır.
CVE-2024-7971, 128.0.6613.84’ten önceki Chromium sürümlerini etkiler. Google, 21 Ağustos 2024’te bu güvenlik açığı için bir düzeltme yayınladı ve kullanıcıların en son sürüme güncellemeleri önerilir.
Bu, CVE-2024-4947 ve CVE-2024-5274’ün ardından bu yıl V8’de düzeltilen üçüncü tür karışıklığı güvenlik açığıdır.
Microsoft’un Yanıtı ve Önerileri
Microsoft hedeflenen müşterileri bilgilendirdi ve ortamlarını güvence altına almalarına yardımcı olmak için ayrıntılı rehberlik sağladı. Kullanıcılara şunlar önerilir:
- İşletim sistemlerini ve uygulamaları güncel tutun.
- Güvenlik yamalarını derhal uygulayın.
- Google Chrome ve Microsoft Edge’in güncel sürümlerini kullanın.
- Microsoft Defender for Endpoint ve Antivirus’da güvenlik özelliklerini etkinleştirin.
CVE-2024-7971’in Citrine Sleet tarafından istismar edilmesi, kripto para sektörünü hedef alan ulus-devlet aktörlerinin oluşturduğu devam eden tehdidin altını çiziyor. Kuruluşlar, önerilen hafifletmeleri uygulamaya koymaya ve gelişen siber tehditlere karşı uyanık olmaya çağrılıyor.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!