مایکروسافت به‌تازگی یک گروه سایبری کره شمالی به نام سیتِرین سلیت (Citrine Sleet) را شناسایی کرده است که از یک آسیب‌پذیری امنیتی در مرورگرهای مبتنی بر کرومیوم، از جمله گوگل کروم (Google Chrome)، سوءاستفاده می‌کند. این نقص به مهاجمان امکان می‌داد تا کدهای مخرب را بر روی دستگاه‌های آلوده اجرا کنند. سیتِرین سلیت از تاکتیک‌های پیشرفته‌ای مانند وب‌سایت‌های جعلی ارزهای دیجیتال برای انجام حملات خود استفاده کرده است.

سیتِرین سلیت، گروه سایبری کره شمالی، از آسیب‌پذیری صفر روزه کرومیوم سوءاستفاده می‌کند

مایکروسافت (Microsoft) روز جمعه گزارشی منتشر کرد که در آن اعلام شد هفته گذشته یک گروه سایبری کره شمالی به نام سیتِرین سلیت (Citrine Sleet) را شناسایی کرده است که از یک آسیب‌پذیری صفر روزه در مرورگر کرومیوم (Chromium) سوءاستفاده می‌کند. این گزارش که توسط واحد اطلاعات تهدید مایکروسافت (Microsoft Threat Intelligence) و مرکز پاسخگویی امنیتی مایکروسافت (Microsoft Security Response Center – MSRC) منتشر شده، آسیب‌پذیری را با عنوان CVE-2024-7971 شناسایی کرده است، که یک نقص نوع تفکیک در موتور جاوااسکریپت V8 و وب‌اسمبلی (Webassembly) استفاده شده توسط کرومیوم است.

این آسیب‌پذیری صفر روزه به اجرای کد از راه دور (RCE) در فرایند رندرینگ ایزوله مرورگرها اجازه می‌داد، که این مسئله به مهاجمان امکان اجرای کدهای مخرب بر روی سیستم‌های هدف را می‌داد. مایکروسافت اعلام کرد:

“تحلیل‌های مداوم و زیرساخت مشاهده‌شده ما را به این نتیجه رسانده است که با اطمینان متوسط این فعالیت را به گروه سیتِرین سلیت نسبت دهیم.”

سیتِرین سلیت (Citrine Sleet) به دلیل تمرکز بر بخش ارزهای دیجیتال و هدف قرار دادن آن برای دستیابی به منافع مالی شناخته شده است. تحلیل‌های بیشتر نشان داد که سیتِرین سلیت ممکن است ابزارها و زیرساخت‌های خود را با گروه تهدید دیگری از کره شمالی به نام دیاموند سلیت (Diamond Sleet)، به‌ویژه از طریق استفاده از بدافزار روت‌کیت فادمدول (Fudmodule)، به اشتراک بگذارد. در این گزارش خاطرنشان شده است که سیتِرین سلیت، که با نام‌های دیگری مانند اپلجوس (Applejeus) و هیدن کبرا (Hidden Cobra) نیز شناخته می‌شود، با دفتر 121 (Bureau 121)، واحد جاسوسی سایبری کره شمالی، مرتبط است. این گروه از تکنیک‌های پیشرفته‌ای، از جمله راه‌اندازی سایت‌های جعلی ارزهای دیجیتال و ارسال پیشنهادات شغلی یا کیف‌پول‌های ارز دیجیتال مخرب برای فریب قربانیان، استفاده می‌کند.

کرومیوم (Chromium) یک پروژه مرورگر وب متن‌باز است که به‌عنوان پایه‌ای برای گوگل کروم (Google Chrome) عمل می‌کند و ویژگی‌ها و خدمات اختصاصی اضافی را شامل می‌شود. از آنجا که کروم بر اساس کدبیس کرومیوم ساخته شده است، آسیب‌پذیری‌های موجود در کرومیوم معمولاً کروم را نیز تحت تأثیر قرار می‌دهند.

وقتی یک هدف به دامنه voyagorclub[.]space متصل می‌شد، یک اکسپلویت صفر روزه (zero-day exploit) مورد استفاده قرار می‌گرفت که منجر به دانلود بدافزار و فرار از سندباکس امنیتی ویندوز می‌شد. اگرچه مایکروسافت (Microsoft) این آسیب‌پذیری را در تاریخ 13 آگوست (23 مرداد) اصلاح کرد، اما هیچ ارتباط مستقیمی با فعالیت‌های سیتِرین سلیت (Citrine Sleet) یافت نشد، که نشان می‌دهد این آسیب‌پذیری ممکن است هم‌زمان توسط گروه‌های مختلف کشف شده باشد یا از طریق اطلاعات مشترک به دست آمده باشد.

مایکروسافت توصیه کرد:

“اکسپلویت‌های صفر روزه (Zero-day exploits) نیازمند به‌روزرسانی مداوم سیستم‌ها و همچنین استفاده از راه‌حل‌های امنیتی هستند که دید یکپارچه‌ای از زنجیره حملات سایبری ارائه می‌دهند تا ابزارهای مهاجم پس از نفوذ و فعالیت‌های مخرب پس از بهره‌برداری را شناسایی و مسدود کنند.”

این گزارش بر نیاز فوری به به‌روزرسانی سیستم‌ها و اجرای پروتکل‌های امنیتی پیشرفته برای دفاع در برابر تهدیدات پیچیده سایبری، به‌ویژه در بخش ارزهای دیجیتال تأکید کرد. مایکروسافت (Microsoft) بر ضرورت به‌روزرسانی سریع سیستم‌عامل‌ها و برنامه‌ها تأکید کرده و توصیه کرد: «سیستم‌عامل‌ها و برنامه‌ها را به‌روز نگه دارید. به‌روزرسانی‌های امنیتی را در اسرع وقت اعمال کنید.» همچنین به کاربران توصیه کرد که بررسی کنند آیا مرورگر وب گوگل کروم (Google Chrome) آن‌ها به نسخه 128.0.6613.84 یا بالاتر به‌روزرسانی شده است یا خیر.

نظر شما در مورد کشف گروه سایبری کره شمالی که از آسیب‌پذیری روز صفر در کرومیوم سوء‌استفاده می‌کند، چیست؟ شما می‌توانید نظرات خود را در قسمت دیدگاه با ما به اشتراک بگذارید.