اكتشفت شركة مايكروسوفت مؤخرًا مجموعة سيبرانية كورية شمالية تدعى Citrine Sleet، تستغل ثغرة أمنية في متصفحات تعتمد على Chromium، بما في ذلك Google Chrome. وقد سمح هذا الخلل للمهاجمين بتنفيذ تعليمات برمجية ضارة على الأجهزة المخترقة. واستخدمت Citrine Sleet تكتيكات متقدمة، مثل مواقع الويب المزيفة للعملات المشفرة، لتنفيذ هجماتها.
مجموعة Citrine Sleet الإلكترونية الكورية الشمالية تستغل ثغرة Zero-Day في Chromium
نشرت شركة مايكروسوفت تقريرًا يوم الجمعة يكشف عن اكتشافها الأسبوع الماضي لمجموعة سيبرانية كورية شمالية تدعى Citrine Sleet تستغل ثغرة أمنية في متصفح Chromium. حدد هذا التقرير، الذي نشرته Microsoft Threat Intelligence وMicrosoft Security Response Center (MSRC)، الثغرة الأمنية باسم CVE-2024-7971، وهي ثغرة تشويش في نوع محرك Javascript وWebassembly V8 الذي يستخدمه Chromium.
سمحت هذه الثغرة الأمنية بتنفيذ التعليمات البرمجية عن بُعد (RCE) داخل عملية العرض المعزولة للمتصفحات، مما سمح للمهاجمين بتشغيل تعليمات برمجية ضارة على الأنظمة المستهدفة. وقالت شركة مايكروسوفت:
إن تحليلنا المستمر والبنية التحتية التي لاحظناها تقودنا إلى أن نعزو هذا النشاط بثقة متوسطة إلى هطول زخات من الثلج.
تشتهر مجموعة Citrine Sleet بتركيزها على قطاع العملات المشفرة، بهدف تحقيق فوائد مالية. وأشار تحليل آخر إلى أن Citrine Sleet قد تشارك الأدوات والبنية الأساسية مع مجموعة تهديد كورية شمالية أخرى، وهي Diamond Sleet، وخاصة من خلال استخدام برنامج Fudmodule rootkit الخبيث. وأشار التقرير إلى أن Citrine Sleet، التي يشار إليها أيضًا بأسماء أخرى مثل Applejeus وHidden Cobra، مرتبطة بمكتب 121، وحدة التجسس الإلكتروني في كوريا الشمالية. وتستخدم المجموعة تقنيات متقدمة، بما في ذلك إنشاء مواقع مزيفة للعملات المشفرة وإرسال عروض عمل ضارة أو محافظ عملات مشفرة لخداع الضحايا.
Chromium هو مشروع متصفح ويب مفتوح المصدر يعمل كأساس لمتصفح Google Chrome، والذي يتضمن ميزات وخدمات إضافية خاصة. ولأن Chrome مبني على قاعدة بيانات Chromium، فإن الثغرات الأمنية في Chromium تؤثر عادةً على Chrome أيضًا.
عندما تم ربط هدف بنطاق voyagorclub(.)space، تم استخدام ثغرة يوم الصفر، مما أدى إلى تنزيل البرامج الضارة والهروب من صندوق الأمان الخاص بنظام التشغيل Windows. وعلى الرغم من أن Microsoft قامت بإصلاح الثغرة في 13 أغسطس، إلا أنه لم يكن هناك رابط مباشر بأنشطة Citrine Sleet، مما يشير إلى أن الثغرة ربما تم اكتشافها من قبل مجموعات مختلفة في نفس الوقت أو من خلال معلومات استخباراتية مشتركة.
نصحت مايكروسوفت:
تتطلب عمليات استغلال اليوم صفر ليس فقط تحديث الأنظمة، ولكن أيضًا حلول أمنية توفر رؤية موحدة عبر سلسلة الهجوم الإلكتروني للكشف عن أدوات المهاجم بعد الاختراق والنشاط الضار بعد الاستغلال وحظرها.
وأكد التقرير على الحاجة الملحة إلى تحديث الأنظمة وتنفيذ بروتوكولات أمنية متقدمة للدفاع ضد التهديدات السيبرانية المعقدة، وخاصة في قطاع العملات المشفرة. وشددت مايكروسوفت على ضرورة التحديث السريع لأنظمة التشغيل والتطبيقات، ونصحت: “الحفاظ على تحديث أنظمة التشغيل والتطبيقات. وتطبيق تصحيحات الأمان في أقرب وقت ممكن”. كما أوصت المستخدمين بالتحقق من “تحديث متصفح الويب Google Chrome إلى الإصدار 128.0.6613.84 أو أحدث”.
