ทีมข่าวกรองภัยคุกคามของบริษัท Microsoft ระบุว่าการใช้ประโยชน์จากช่องโหว่ CVE-2024-7971 สามารถเชื่อมโยงไปยังกลุ่ม APT (Advanced Persistent Threat) ของเกาหลีเหนือ ซึ่งกำลังมุ่งเป้าไปที่ภาคส่วนคริปโทเคอร์เรนซีเพื่อแสวงหาผลประโยชน์ทางการเงิน
ทีมข่าวกรองภัยคุกคามของ Microsoft เปิดเผยว่ากลุ่มผู้คุกคามจากเกาหลีเหนือเป็นผู้รับผิดชอบในการใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดระยะไกล (remote code execution) ในเบราว์เซอร์ Chrome ที่ Google ได้ทำการแพตช์เมื่อต้นเดือนนี้
ตามข้อมูลใหม่จาก Microsoft พบว่ามีกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือใช้ช่องโหว่ Zero-Day กับข้อบกพร่องใน Chromium V8 ซึ่งเป็นเอนจินของ JavaScript และ WebAssembly
ช่องโหว่ที่ถูกติดตามด้วยรหัส CVE-2024-7971 ได้รับการแพตช์โดย Google เมื่อวันที่ 21 สิงหาคม และถูกระบุว่าเป็นช่องโหว่ที่ถูกใช้ประโยชน์ในการโจมตีแล้ว โดยนี่เป็นช่องโหว่ Zero-Day ตัวที่เจ็ดที่ถูกใช้ในการโจมตี Chrome ในปีนี้
Microsoft ระบุว่า “เราประเมินด้วยความมั่นใจสูงว่าการใช้ประโยชน์จากช่องโหว่ CVE-2024-7971 ที่ถูกสังเกตเห็นนั้น สามารถเชื่อมโยงกับกลุ่มผู้คุกคามจากเกาหลีเหนือที่มุ่งเป้าหมายไปยังภาคคริปโทเคอร์เรนซีเพื่อผลประโยชน์ทางการเงิน”
Microsoft ระบุว่าการโจมตีเหล่านี้เป็นฝีมือของกลุ่มที่ชื่อว่า ‘Citrine Sleet’ ซึ่งเคยถูกจับได้ก่อนหน้านี้ว่ามุ่งโจมตีสถาบันการเงิน โดยเฉพาะองค์กรและบุคคลที่จัดการคริปโทเคอร์เรนซี
‘Citrine Sleet’ ถูกติดตามโดยบริษัทด้านความปลอดภัยอื่น ๆ ภายใต้ชื่อ AppleJeus, Labyrinth Chollima, UNC4736 และ Hidden Cobra โดยมีความเชื่อมโยงกับหน่วย 121 ของสำนักงานข่าวกรองทั่วไปของเกาหลีเหนือ
ในการโจมตีที่ถูกพบครั้งแรกเมื่อวันที่ 19 สิงหาคม แฮ็กเกอร์เกาหลีเหนือได้นำเหยื่อไปยังโดเมนที่มีการวางกับดัก ซึ่งให้บริการการโจมตีด้วยการเรียกใช้โค้ดระยะไกลผ่านเบราว์เซอร์ เมื่อเข้าถึงเครื่องที่ติดเชื้อ Microsoft พบว่าผู้โจมตีได้ติดตั้ง rootkit ชื่อ FudModule ซึ่งเคยถูกใช้โดยกลุ่ม APT ของเกาหลีเหนือกลุ่มอื่นมาก่อน
Credit:Securityweek.com