Microsoft, Kuzey Koreli bir tehdit aktörünün Chromium’da Sıfır Gün Açığını , CVE-2024-7971 olarak tanımlanan Chromium tarayıcısındaki bir sıfır gün açığını istismar ettiğini keşfetti.
Bu güvenlik açığı, V8 JavaScript ve WebAssembly motorundaki bir tür karışıklığı hatası olup, Chromium tarayıcısının izole edilmiş işleminde uzaktan kod yürütme (RCE) olanağı sağladı.
Citrine Sleet olarak bilinen tehdit aktörü, ağırlıklı olarak finansal kazanç amacıyla kripto para sektörünü hedef alıyor.
Microsoft, “Citrine Sleet tarafından gerçekleştirilen gözlemlenen sıfır gün istismarı, tarayıcı istismar zincirlerinde tipik olarak görülen aşamaları izledi. İlk olarak, hedefler Citrine Sleet tarafından kontrol edilen voyagorclub[.]space istismar alanına yönlendirildi.” şeklinde bir açıklama yaptı.
İstismar Ayrıntıları ve Atıf Microsoft’un Analizine Göre
CVE-2024-7971’in istismarı, yüksek bir güven düzeyiyle Citrine Sleet’e atfedildi. Bu tehdit aktörü, Kuzey Koreli bir diğer grup olan Diamond Sleet ile bağlantılı olan FudModule rootkitinin dağıtımıyla da ilişkilendirildi.
Bu gruplar arasındaki ortak altyapı ve araçlar, olası bir iş birliği veya FudModule kötü amaçlı yazılımının paylaşımlı kullanımını işaret ediyor.
Diğer güvenlik firmaları tarafından AppleJeus, Labyrinth Chollima, UNC4736 ve Hidden Cobra olarak izlenen Citrine Sleet, Kuzey Kore’nin Keşif Genel Bürosu’nun bir parçasıdır.
Grup, kripto para sektörüne yönelik geniş kapsamlı bir keşif yaparak, AppleJeus truva atı gibi kripto para varlıklarını hedefleyen kötü amaçlı yazılımları dağıtmak için sahte web siteleri ve sosyal mühendislik tekniklerini kullanmaktadır.
Saldırı zinciri, hedeflerin Citrine Sleet tarafından kontrol edilen bir alana yönlendirilmesiyle başlar ve burada sıfır gün RCE istismarı sunulur.
Ardından, bir Windows sanal alan kaçışını sağlamak için CVE-2024-38106 güvenlik açığından yararlanılarak shellcode indirmeyi ve yürütülmesi gerçekleştirilir.
Sonrasında, güvenlik mekanizmalarını bozmak için doğrudan çekirdek nesne manipülasyonu (DKOM) tekniklerini kullanan FudModule rootkit yüklenir.
İlginizi çekebilecek yazımız: Sekiz Android ve iOS Uygulamasının Kullanıcıların Hassas Verilerini Sızdırdığı Ortaya Çıktı
CVE-2024-7971, Chromium’un 128.0.6613.84 sürümünden önceki versiyonlarını etkiler. Google, 21 Ağustos 2024’te bu güvenlik açığı için bir yama yayımladı ve kullanıcıların en son sürüme güncelleme yapmaları önerilmektedir.
Bu yıl V8 motorunda düzeltme yapılan üçüncü tür karışıklığı güvenlik açığı olup, CVE-2024-4947 ve CVE-2024-5274’ün ardından gelmektedir.
Microsoft’un Yanıtı ve Öneriler
Microsoft, hedeflenen müşterileri bilgilendirdi ve ortamlarını güvence altına almalarına yardımcı olacak ayrıntılı yönergeler sağladı. Kullanıcılara şunlar önerilmektedir:
- İşletim sistemlerini ve uygulamalarını güncel tutmak,
- Güvenlik yamalarını hızla uygulamak,
- Google Chrome ve Microsoft Edge’in güncel sürümlerini kullanmak,
- Microsoft Defender for Endpoint ve Antivirus’te güvenlik özelliklerini etkinleştirmek.
Citrine Sleet tarafından CVE-2024-7971’in istismarı, ulus devlet aktörlerinin kripto para sektörünü hedef almaya devam eden tehdidini vurgulamaktadır. Kuruluşlara, önerilen azaltıcı önlemleri uygulamaları ve gelişen siber tehditlere karşı dikkatli olmaları çağrısı yapılmaktadır.
Haber Kaynağı: Cyber Security News