ラザルスハッカーがGoogle Chromeの脆弱性を悪用してデバイスを感染させた

カスペルスキーのグローバルリサーチ＆アナリシスチーム（GReAT）は水曜日、悪名高い北朝鮮のラザルス高度持続的脅威（APT）グループが、偽の分散型金融（DeFi）ゲームを通じて現在は修正されたGoogle Chromeのゼロデイ脆弱性を悪用し、スパイウェアをインストールしてウォレットの認証情報を盗んだことを明らかにしました。

2024年5月13日、カスペルスキーの専門家は、2024年2月に始まった悪意のあるキャンペーンを発見しました。これは、ロシアの顧客のコンピュータ上で「Manuscrypt」バックドアマルウェアの新しい亜種を特定した後のことです。

ラザルスは少なくとも2013年からManuscryptマルウェアを使用しており、さまざまな業界をターゲットにした50以上のユニークなキャンペーンで使用されています。

カスペルスキーによって明らかにされたこの高度な悪意のあるキャンペーンは、暗号通貨投資家をターゲットにするために、ソーシャルエンジニアリング技術と生成AIに大きく依存していました。

カスペルスキーの研究者は、脅威アクターが2つの脆弱性を悪用したことを発見しました。そのうちの1つはCVE-2024-4947として追跡されている、Google ChromeのV8ブラウザエンジンにおける以前は知られていなかったゼロデイバグで、リモート攻撃者が作成されたHTMLページを介してサンドボックス内で任意のコードを実行できるものでした。

この脆弱性は、カスペルスキーが同社に報告した後、2024年5月25日にChromeバージョン125.0.6422.60/.61でGoogleによって修正されました。

さらに、2つ目の脆弱性は攻撃者がGoogle ChromeのV8サンドボックス保護を回避することを可能にしました。Googleは2024年3月にサンドボックスバイパスの脆弱性を修正しました。

彼らのキャンペーンでは、脅威アクターは「detankzone[.]com」というウェブサイトから発信されたGoogle Chromeウェブブラウザを悪用しました。

「表面的には、このウェブサイトは分散型金融（DeFi）NFTベースの（非代替性トークン）マルチプレイヤーオンラインバトルアリーナ（MOBA）タンクゲームのプロフェッショナルにデザインされた製品ページに似ており、ユーザーにトライアル版をダウンロードするよう誘っていました」とカスペルスキーの研究者ボリス・ラリンとヴァシリー・ベルニコフは述べました。

「しかし、それは単なる偽装でした。実際には、このウェブサイトにはユーザーのGoogle Chromeブラウザで実行される隠れたスクリプトがあり、ゼロデイのエクスプロイトを起動し、攻撃者に被害者のPCへの完全な制御を与えました。このウェブサイトを訪れるだけで感染してしまったのです — ゲームはただの気を散らすものでした。」

カスペルスキーは、攻撃者が正当なNFTゲームであるDeFiTankLand（DFTL）を偽のゲームのプロトタイプとして使用し、そのデザインを元のものと非常に似せていたことを発見しました。錯覚を維持するために、偽のゲームは盗まれたソースコードを使用して開発されましたが、ロゴや参照は元のバージョンから変更されていました。

研究者たちはまた、攻撃者が暗号通貨の分野で影響力のある人物に接触し、彼らの悪意のあるウェブサイトを宣伝させたことを付け加えました。彼らの暗号ウォレットもおそらく侵害されていました。

2024年2月20日、攻撃者はキャンペーンを開始し、Xでタンクゲームの広告を始め、その後、DeFiTankLandのウォレットから20,000ドル相当のDFTL2コインが盗まれました。

プロジェクトの開発者は、侵害の責任を内部の人間に帰しましたが、カスペルスキーはラザルスグループが攻撃の背後にいると考えています。

「これまでにもAPTアクターが金銭的利益を追求するのを見てきましたが、このキャンペーンはユニークでした。攻撃者は、Google Chromeのゼロデイを悪用してターゲットシステムを感染させるために、完全に機能するゲームをカバーとして使用するという典型的な戦術を超えました。ラザルスのような悪名高いアクターと関わると、ソーシャルネットワークやメールのリンクをクリックするなど、一見無害な行動でも、個人のコンピュータや企業ネットワーク全体が完全に侵害される可能性があります。このキャンペーンに投資された大きな努力は、彼らが野心的な計画を持っていたことを示唆しており、実際の影響ははるかに広範囲に及ぶ可能性があり、世界中のユーザーや企業に影響を与える可能性があります」とラリンはコメントしました。