Sfruttano vulnerabilità del browser e di Windows per installare malware: il caso Citrine Sleet

Microsoft ha rivelato un attacco informatico avanzato condotto dal gruppo nordcoreano Citrine Sleet, che ha sfruttato una vulnerabilità zero-day in Chromium (CVE-2024-7971) e una seconda nel kernel di Windows (CVE-2024-38106). L'attacco, eseguito senza interazione dell'utente, ha permesso l'installazione di un rootkit sui sistemi compromessi. L'incidente evidenzia l'importanza di aggiornare tempestivamente sia il browser che il sistema operativo per proteggersi da minacce sofisticate.
Michele Nasi
Pubblicato il 2 set 2024
Sfruttano vulnerabilità del browser e di Windows per installare malware: il caso Citrine Sleet

Il 19 agosto 2024, Microsoft ha identificato un gruppo di criminali informatici nordcoreani che era riuscito a individuare e usare una nuova vulnerabilità zero-day in Chromium, ora classificata come CVE-2024-7971, per eseguire un rootkit sui sistemi delle vittime. Il tutto senza la necessità di alcun tipo di interazione da parte degli utenti.

L’attacco appena emerso è ben congegnato e dimostra ancora una volta come da un lato sia necessario aggiornare tempestivamente il browser Web, il software utilizzato per navigare in rete ogni giorno. E come dall’altro, anche l’applicazione delle patch di sicurezza destinate al sistema operativo Microsoft non possa essere rimandata per troppo tempo.

Gli aggressori asiatici hanno infatti contemporaneamente utilizzato più falle zero-day, in una efficace catena di attacco che lascia di stucco per ingegnosità e realizzazione tecnica.

Citrine Sleet: chi sono gli aggressori e quali sono i loro interessi

Secondo gli esperti Microsoft, i cybercriminali promotori dell’attacco in questione farebbero capo al gruppo nordcoreano Citrine Sleet.

Già noti ai ricercatori, Citrine Sleet nutre uno spiccato interesse sul segmento delle criptovalute, con l’obiettivo di ottenere guadagni finanziari ingenti. Il gruppo ha preso di mira istituzioni finanziarie, professionisti ed individui.

Citrine Sleet è collegato al Bureau 121, un’unità d’élite del Reconnaissance General Bureau della Corea del Nord, responsabile delle operazioni cibernetiche offensive del paese. Questo gruppo è anche conosciuto con altri nomi come AppleJeus, Labyrinth Chollima, UNC4736 e Hidden Cobra. La loro attività si inserisce in una strategia nordcoreana più ampia, che utilizza il cybercrimine per raccogliere fondi a supporto del regime, specialmente in un contesto di sanzioni economiche internazionali.

Come funziona l’attacco

La falla zero-day CVE-2024-7971 interessava Chromium e tutti i browser da esso derivati: quindi Chrome, Edge, Opera e così via. Google ha rilasciato la patch correttiva la settimana passata ma è importante verificare di averla installata (assicurarsi che il browser sia aggiornato digitando chrome://settings/help).

La vulnerabilità in questione discende da un bug di tipo “type confusion” nel motore JavaScript e WebAssembly V8 di Chromium. Le vulnerabilità di “type confusion” si verificano quando il programma interpreta in modo errato il tipo di dati di una variabile, portando potenzialmente all’esecuzione di codice arbitrario nel processo di rendering delle pagine del browser.

Il fatto è che, anche sfruttando questa falla, il codice arbitrario caricato dopo la visita di una pagina Web malevola resta in esecuzione nella sandbox del browser, ovvero in un ambiente isolato rispetto al resto del sistema. Come hanno fatto quelli di Citrine Sleet a superare i limiti della sandbox e arrivare a installare un ransomware sul dispositivo dell’utente?

I cybercriminali hanno approfittato di un secondo zero-day, questa volta individuato in Windows e risolto da Microsoft con il rilascio delle patch di ferragosto 2024. CVE-2024-38106 è una vulnerabilità del kernel di Windows che, una volta sfruttata, ha permesso agli aggressori di ottenere i diritti SYSTEM, il livello più alto di privilegio su un sistema Windows. Questo ha consentito agli aggressori di eseguire qualsiasi operazione sul sistema compromesso, compreso il caricamento del rootkit FudModule.

Rootkit FudModule: le sue caratteristiche

Il rootkit FudModule è un malware sofisticato che manipola direttamente gli oggetti del kernel (tecnica DKOM) per alterare il funzionamento del sistema operativo e aggirare i meccanismi di sicurezza del kernel stesso. Questo rootkit è stato osservato per la prima volta in attacchi attribuiti a Diamond Sleet, un altro gruppo di hacker nordcoreani.

L’infrastruttura e gli strumenti utilizzati da Citrine Sleet e Diamond Sleet mostrano un elevato grado di condivisione, suggerendo una collaborazione o un utilizzo condiviso di malware tra questi gruppi.

FudModule è noto per essere particolarmente difficile da rilevare, utilizzando tecniche avanzate agire a basso livello e per mantenere la persistenza su sistemi compromessi.

Sfruttamento di vulnerabilità zero-day e catena di attacco complessa multistadio

Gli attacchi posti in essere da Citrine Sleet evidenziano l’elevata sofisticazione delle aggressioni “sponsorizzate” dallo stato nordcoreano e la loro capacità di sfruttare vulnerabilità zero-day in catene di attacco complesse. Questi attacchi non solo sottolineano la necessità di mantenere i sistemi aggiornati, ma anche l’importanza di soluzioni di sicurezza in grado di fornire visibilità unificata e capacità di rilevamento lungo tutta la catena di attacco. La collaborazione tra i team di sicurezza, come quella tra Microsoft e Google, è fondamentale per rispondere rapidamente a queste minacce emergenti e proteggere le infrastrutture critiche.

È vero che Microsoft e Google si sono attivate per risolvere le problematiche di sicurezza CVE-2024-7971 e CVE-2024-38106, ma c’è stato un lasso di tempo piuttosto ampio in cui gli attaccanti hanno potuto agire indisturbati, facendo leva su vulnerabilità presenti nei browser Web e nei sistemi operativi Windows per le quali non esistevano patch correttive.

L’attacco portato a termine da Citrine Sleet non si è limitato a un singolo exploit, ma ha seguito una catena di attacco complessa che includeva:

  • L’esecuzione di codice remoto attraverso il browser.
  • L’evasione dalla sandbox di Chromium.
  • Lo sfruttamento di una vulnerabilità nel kernel di Windows per ottenere privilegi di SYSTEM.
  • Il caricamento in memoria del rootkit FudModule.

Questa catena di attacco multistadio dimostra una profonda comprensione dei sistemi operativi e dei software, oltre a una capacità di sviluppare e adattare exploit per massimizzare il controllo sui sistemi compromessi.

Citrine Sleet utilizza anche tecniche avanzate di social engineering e phishing, allestendo siti Web falsi che imitano le piattaforme di trading di criptovalute. Questo approccio, che prevede l’adescamento delle vittime, è particolarmente efficace e denota una strategia ben pianificata per prendere di mira specifici individui e organizzazioni.

Credit immagine in apertura: iStock.com – PUGUN SJ

Ti consigliamo anche

Malware mascherato da documento PDF in Windows: come può accadere
Windows

Malware mascherato da documento PDF in Windows: come può accadere
Nuovo e pericoloso malware agisce disattivando gli antivirus
Vulnerabilità

Nuovo e pericoloso malware agisce disattivando gli antivirus
Patch Tuesday di Microsoft: corretto exploit zero-day che annulla precedenti patch
Vulnerabilità

Patch Tuesday di Microsoft: corretto exploit zero-day che annulla precedenti patch
Patch Microsoft di settembre 2024: le vulnerabilità da correggere subito
Business

Patch Microsoft di settembre 2024: le vulnerabilità da correggere subito
Link copiato negli appunti