据微软称,8 月早些时候,一个朝鲜黑客组织利用 Chrome 浏览器中一个此前未知的漏洞,以组织为目标,窃取加密货币。在周五发布的一份报告中,这家科技巨头的网络安全研究人员表示,他们在 8 月 19 日首次看到了黑客活动的证据,并称黑客隶属于一个名为 Citrine Sleet 的组织,该组织以加密货币行业为目标。
报告称,黑客利用了 Chromium 核心引擎中的一个漏洞,Chromium 是 Chrome 浏览器和微软 Edge 等其他流行浏览器的底层代码。当黑客利用这个漏洞时,它是一个零日漏洞,这意味着软件开发商Google并不知道这个漏洞,因此在漏洞被利用之前没有时间发布修复程序。据微软称,Google在两天后的8月21日修补了该漏洞。
Google发言人斯科特-韦斯特弗(Scott Westover)随后对此做出回应,除了确认漏洞已被修补外,没有其他评论。
微软表示,它已经通知了"目标客户和受损客户",但没有提供更多信息说明谁成为了攻击目标,也没有说明有多少目标和受害者成为了这次黑客攻击活动的目标。
微软发言人 Chris Williams 拒绝透露有多少组织或公司受到了影响。
研究人员写道,Citrine Sleet"总部设在朝鲜,主要针对金融机构,特别是管理加密货币的组织和个人,以获取经济利益",该组织"对加密货币行业和与之相关的个人进行了广泛的侦察",这是其社交工程技术的一部分。
"威胁行为者创建伪装成合法加密货币交易平台的虚假网站,并利用这些网站发布虚假工作申请,或引诱目标下载基于合法应用程序的武器化加密货币钱包或交易应用程序,"报告中写道。"CitrineSleet最常使用其开发的独特木马恶意软件AppleJeus感染目标,该恶意软件会收集必要信息,以夺取目标加密货币资产的控制权。"
朝鲜黑客的攻击始于诱骗受害者访问黑客控制下的一个网域。然后,根据微软的报告,由于 Windows 内核中的另一个漏洞,黑客能够在目标计算机上安装 rootkit(一种能够深度访问操作系统的恶意软件)。
此时,目标受害者的数据基本上就完了,因为黑客已经完全控制了被入侵的计算机。
多年来,加密货币一直是朝鲜政府黑客的多汁目标。联合国安理会的一个小组得出结论称,朝鲜政权在 2017 年至 2023 年间窃取了 30 亿美元的加密货币。鉴于金正恩政府是严格的国际制裁的目标,该政权转而通过窃取加密货币来资助其核武器计划。