Microsoft yakın zamanda Google Chrome da dahil olmak üzere Chromium tabanlı tarayıcılardaki bir güvenlik açığını istismar eden bir Kuzey Kore siber grubu olan Citrine Sleet’i tespit etti. Bu kusur, saldırganların tehlikeye atılmış cihazlarda kötü amaçlı kod yürütmesine olanak sağladı. Citrine Sleet, saldırılarını gerçekleştirmek için sahte kripto para web siteleri gibi gelişmiş taktikler kullandı.
Başlıklar
Microsoft, Kuzey Koreli Bilgisayar Korsanları Tarafından Google Chrome Güvenlik Açığının Kullanıldığı Uyarısında Bulundu
Kuzey Koreli Siber Grup Citrine Sleet, Chromium’un Sıfır Gün Açığını Kullanıyor
Microsoft Threat Intelligence ve Microsoft Güvenlik Yanıt Merkezi (MSRC) tarafından yayınlanan bu rapor, açığı Chromium tarafından kullanılan V8 Javascript ve Webassembly motorunda bir tür karışıklığı kusuru olan CVE-2024-7971 olarak tanımladı.
Bu sıfır gün açığı, saldırganların hedeflenen sistemlerde zararlı kod çalıştırmalarına izin veren tarayıcıların izole edilmiş işleyici sürecinde uzaktan kod yürütülmesine (RCE) izin verdi. Microsoft şunları söyledi:
Devam eden analizimiz ve gözlemlediğimiz altyapı, bu etkinliği orta düzeyde güvenle Citrine Sleet’e bağlamamızı sağladı.
Citrine Sleet, finansal faydalar hedefleyen kripto para birimi sektörüne odaklanmasıyla bilinir. Daha ileri analizler, Citrine Sleet’in, özellikle Fudmodule rootkit kötü amaçlı yazılımının kullanımı yoluyla, başka bir Kuzey Kore tehdit grubu olan Diamond Sleet ile araç ve altyapı paylaşabileceğini öne sürdü. Raporda, Applejeus ve Hidden Cobra gibi diğer isimlerle de anılan Citrine Sleet’in, Kuzey Kore’nin siber casusluk birimi olan Bureau 121 ile bağlantılı olduğu belirtildi. Grup, sahte kripto para siteleri kurmak ve kurbanları kandırmak için kötü amaçlı iş teklifleri veya kripto para cüzdanları göndermek gibi gelişmiş teknikler kullanıyor.
Chromium, ek tescilli özellikler ve hizmetler içeren Google Chrome’un temelini oluşturan açık kaynaklı bir web tarayıcısı projesidir. Chrome, Chromium’un kod tabanına dayandığından, Chromium’daki güvenlik açıkları genellikle Chrome’u da etkiler.
Voyagorclub[.]space etki alanına bağlanan bir hedef, kötü amaçlı yazılım indirilmesine ve Windows güvenlik deneme alanından kaçılmasına yol açan sıfır günlük bir istismar kullanıldı. Microsoft, 13 Ağustos’ta güvenlik açığını yamalasa da Citrine Sleet’in faaliyetleriyle doğrudan bir bağlantı yoktu; bu da güvenlik açığının farklı gruplar tarafından aynı anda veya paylaşılan istihbarat yoluyla keşfedilmiş olabileceğini gösteriyor.
Microsoft şunları tavsiye etti:
Sıfır günlük istismarlar yalnızca sistemleri güncel tutmayı değil, aynı zamanda siber saldırı zincirinde birleşik görünürlük sağlayan ve istismardan sonra saldırgan araçlarını ve kötü amaçlı faaliyetleri tespit edip engelleyen güvenlik çözümlerini de gerektirir.
Rapor, özellikle kripto para sektöründe karmaşık siber tehditlere karşı savunmak için sistemleri güncel tutma ve gelişmiş güvenlik protokolleri uygulama konusundaki acil ihtiyacın altını çizdi. Microsoft, hem işletim sistemlerini hem de uygulamaları hızla güncellemenin gerekliliğini vurgulayarak şunları tavsiye etti: “İşletim sistemlerini ve uygulamaları güncel tutun. Güvenlik yamalarını mümkün olan en kısa sürede uygulayın.” Ayrıca kullanıcıların “Google Chrome web tarayıcılarının 128.0.6613.84 veya sonraki bir sürüme güncellendiğini” doğrulamaları önerildi.
“SEC Neden Dijital Sanat Ve Maymun Resimlerinin Peşinde?“ adlı yazımıza buradan ulaşabilirsiniz.