Attaque de hackers sur l’industrie des cryptomonnaies
Des hackers présumés liés au gouvernement nord-coréen ont ciblé l’industrie des cryptomonnaies en exploitant une faille zero-day affectant le navigateur Chromium. Microsoft a révélé cette campagne dans un article de blog vendredi, attribuant la responsabilité à un acteur de menace qu’ils nomment « Citrine Sleet ». Ce groupe a précédemment été associé à une unité du Bureau Général de la Reconnaissance de la Corée du Nord. Le géant de la technologie a noté que certains outils utilisés dans la campagne étaient également employés par d’autres groupes nord-coréens, dont l’un appelé Diamond Sleet. La vulnérabilité exploitée, CVE-2024-7971, a été corrigée par Google la semaine dernière. Google a reconnu que Microsoft les avait informés de la vulnérabilité le 19 août. L’agence américaine de cybersécurité a ajouté CVE-2024-7971 à un catalogue de vulnérabilités connues pour avoir été exploitées. Les agences civiles fédérales ont jusqu’au 16 septembre pour corriger le bug sur les systèmes gouvernementaux.
Focus sur les attaques de Citrine Sleet
Microsoft a indiqué que Citrine Sleet concentre ses attaques sur les institutions financières et les entreprises de cryptomonnaies, en créant des réseaux de faux sites web utilisés pour envoyer de fausses candidatures d’emploi. Certaines incidents ont impliqué les hackers tentant de faire télécharger à leurs victimes des portefeuilles crypto malveillants ou des applications de trading conçues pour ressembler à des plateformes légitimes. Selon Microsoft, Citrine Sleet infecte le plus souvent ses cibles avec un logiciel malveillant trojan unique qu’il a développé, AppleJeus, qui collecte les informations nécessaires pour prendre le contrôle des actifs en cryptomonnaies des cibles.
Les hackers ont utilisé un faux domaine qu’ils contrôlaient à voyagorclub[.]space – potentiellement une référence à une plateforme de cryptomonnaie désormais disparue. À partir de là, CVE-2024-7971 est exploité. Un logiciel malveillant appelé « FudModule » est ensuite déployé. Microsoft a noté que ce malware est utilisé depuis 2021 par d’autres groupes nord-coréens. Au moins l’une des victimes de cette campagne avait déjà été ciblée par un autre groupe nord-coréen et Microsoft a lié ces attaques à un effort plus vaste de Pyongyang pour exploiter des vulnérabilités dans les entreprises de technologie de cryptomonnaies, les sociétés de jeux et les plateformes d’échange pour générer et blanchir des fonds afin de soutenir le régime nord-coréen.
Le gouvernement nord-coréen a fait du piratage de plateformes de cryptomonnaies un pilier clé de sa stratégie de revenus, en générant 3 milliards de dollars entre 2017 et 2023 grâce à des attaques, selon les enquêteurs des Nations Unies.
Source : therecord.media