Conclusiones clave Se ha observado que un actor de amenazas norcoreano, Citrine Sleet, explota una vulnerabilidad de día cero en Chromium, designada como CVE-2024-7971, para lograr la ejecución remota de código (RCE). Citrine Sleet, también rastreado por otras empresas de seguridad bajo los nombres AppleJeus, Labyrinth Chollima, UNC4736 y Hidden Cobra, se atribuye a la Oficina 121 de la Oficina General de Reconocimiento de Corea del Norte. El grupo se centra principalmente en las instituciones financieras, especialmente las involucradas con criptomonedas, con el objetivo de obtener ganancias financieras. Las tácticas, técnicas y procedimientos (TTP) del grupo ahora se han vinculado al rootkit FudModule, que también se ha asociado con Diamond Sleet, otro actor de amenazas norcoreano. Citrine Sleet crea sitios web fraudulentos que imitan plataformas legítimas de comercio de criptomonedas para distribuir solicitudes de empleo falsas o atraer a los objetivos para que descarguen una billetera de criptomonedas o una aplicación de comercio comprometidas. El TA normalmente infecta a los objetivos con su malware troyano personalizado, AppleJeus, diseñado para recopilar la información necesaria para tomar el control de los activos de criptomonedas de las víctimas. Descripción general Los investigadores de Microsoft observaron que el grupo de actores de amenazas Citrine Sleet explotaba la vulnerabilidad de día cero CVE-2024-7971 en el motor V8 JavaScript y WebAssembly, que afecta a las versiones de Chromium anteriores a 128.0.6613.84. Al explotar esta vulnerabilidad, los atacantes lograron la ejecución remota de código (RCE) dentro del proceso de renderizado de Chromium en un espacio aislado. Desde entonces, Google lanzó un parche para la vulnerabilidad, el 21 de agosto de 2024, y se recomienda a los usuarios que actualicen a la última versión de Chromium para mitigar el riesgo. Análisis técnico La cadena de ataque observada involucró una secuencia de explotación típica del navegador, comenzando con los objetivos dirigidos a un dominio de explotación controlado por Citrine Sleet, voyagorclub[.]espacio, a través de tácticas comunes de ingeniería social. Una vez que los usuarios se conectaron, se implementó el exploit RCE de día cero para CVE-2024-7971, lo que permitió a los atacantes descargar y cargar shellcode que contenía un exploit de escape de sandbox de Windows y el rootkit FudModule en la memoria. FudModule es un malware rootkit avanzado diseñado para apuntar al acceso al kernel mientras evita la detección. Se ha visto a actores de amenazas usando el rootkit de solo datos FudModule para obtener acceso de administrador a kernel en sistemas basados ​​en Windows, lo que permite operaciones primitivas de lectura/escritura y realiza manipulación directa de objetos de kernel (DKOM). La cadena de ataque vista en el exploit de día cero de Citrine Sleet de CVE-2024-7971 refleja de cerca la cadena observada por Avast, que involucra una variante de FudModule conocida como «FudModule 2.0». Esta variante incluye cargadores maliciosos y un troyano de acceso remoto (RAT) de etapa avanzada. La investigación identificó al previamente desconocido Kaolin RAT como el malware responsable de implementar el rootkit FudModule en dispositivos específicos. Conclusión y recomendaciones CVE-2024-7971 es la tercera vulnerabilidad este año que los actores de amenazas norcoreanos han explotado para implementar el rootkit FudModule, después de CVE-2024-21338 y CVE-2024-38193. Para abordar los exploits de día cero de manera efectiva, es crucial no solo mantener los sistemas actualizados, sino también utilizar soluciones de seguridad que ofrezcan una visibilidad integral en toda la cadena de ciberataque para detectar y bloquear las herramientas de los atacantes y las actividades maliciosas después de la explotación. Para mitigar los riesgos planteados por Citrine Sleet y amenazas similares, se recomiendan las siguientes prácticas recomendadas: Active la función de actualización automática de software en su computadora, dispositivo móvil y cualquier otro dispositivo vinculado cuando sea posible y práctico. Emplee una solución antivirus confiable y un paquete de software de seguridad de Internet en todos los dispositivos conectados, como su PC, computadora portátil y teléfono móvil. Realice evaluaciones de vulnerabilidad consistentes para mantener una seguridad proactiva. Utilice siempre la autenticación multifactor en las cuentas para reducir el riesgo de robo de datos.