Exploração de zero-day no Chrome atribuída a cibergrupo norte-coreano

Uma investigação da equipa de threat intelligence da Microsoft revelou que um cibergrupo da Coreia do Norte foi responsável pela exploração de uma vulnerabilidade zero-day no Chrome de execução remota de código.

A vulnerabilidade (CVE-2024-7971) foi corrigida pela Google a 21 de agosto e está a ser ativamente explorada. Na totalidade de 2024, esta foi a sétima vulnerabilidade zero-day descoberta que está a ser ativamente explorada.

Numa publicação no seu blog, a Microsoft refere que tem “elevada confiança que a exploração do CVE-2024-7971 observada pode ser atribuída a um agente de ameaça da Coreia do Norte que tem como alvo o setor de criptomoedas para ganhos financeiros”. O ator em questão é conhecido por Citrine Sleet e ataca instituições financeiras, organizações particulares e indivíduos que gerem criptomoedas.

Nos ataques, que foram descobertos a 19 de agosto, o cibergrupo direcionou as vítimas para um domínio que conta com exploits de execução remota de código no browser. Na máquina infetada, a Microsoft observou que os atacantes implementaram o rootkit FudModule que foi anteriormente por um diferente ator APT da Coreia do Norte.