北朝鮮のハッカーがChromeのゼロデイ脆弱性を利用して行った攻撃についてMicrosoftがレポートを公開
北朝鮮政府の支援を受けるとみられるハッカー集団が、セキュリティ研究者を標的に攻撃を行っていたことを2021年1月25日にGoogleが報告しました。この攻撃がどのように行われたのかについてMicrosoftが調査を行い、レポートを発表しています。
ZINC attacks against security researchers - Microsoft Security
https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/
Microsoft: DPRK hackers 'likely' hit researchers with Chrome exploit
https://www.bleepingcomputer.com/news/security/microsoft-dprk-hackers-likely-hit-researchers-with-chrome-exploit/
Lazarus Group behind security researcher attacks - Security - iTnews
https://www.itnews.com.au/news/lazarus-group-behind-security-researcher-attacks-560380
2021年1月25日、Googleはセキュリティ研究者を標的とした新たなハッキングが数カ月にわたって続いていることを発表しました。
New campaign targeting security researchers
https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/
攻撃グループは脆弱性研究の分野で地位を確立している架空の人物のTwitterアカウントを構築し、標的のセキュリティ研究者とフォロー・フォロワー関係となった後に、研究を依頼することで情報を盗み出すソーシャルエンジニアリングの手法を用いたとされています。
Microsoftはこの攻撃グループ「ZINC」の追跡を実施し、レポートを公開しました。ZINCは「Lazarus」としても知られており、北朝鮮の支援を受けてランサムウェア「WannaCry」関連の犯罪やソニー・ピクチャーズへのハッキングに関与したと考えられています。
北朝鮮ハッカーがランサムウェア「WannaCry」作成とソニー・ピクチャーズへのハッキングに関与したとしてアメリカが訴追へ - GIGAZINE
Microsoftのレポートによると、新たなハッキングでZINCは悪意あるダイナミックリンクライブラリ(DLL)を含むMicrosoft Visual Studioのプロジェクトをセキュリティ研究者に送りました。このDLLは研究者がプロジェクトをコンパイルした時に実行され、バックドアとなるマルウェアをインストールさせて、コンピューターで実行されたコマンドや情報を攻撃者が取得できるように設定されていました。
またMicrosoftはVisual Studio以外のツールを利用した攻撃も確認しています。Googleは、「完全にパッチの施された最新のChrome」であるにもかかわらずユーザーが攻撃者の用意したウェブサイトでマルウェアに感染したことを報告しており、攻撃者はゼロデイ脆弱性を利用したと考えられました。これについてMicrosoftは「ゼロデイ脆弱性あるいはパッチのギャップを利用したエクスプロイト」がウェブサイトに含まれていたという考えを述べています。
攻撃者は2020年10月14日から21日頃までの間にTwitterで「DOS2RCE: A New Technique To Exploit V8 NULL Pointer Dereference Bug」というタイトルのブログ記事を共有しました。ZINCからVisual Studioのプロジェクトを送られていない人でも、Chromeでリンクをクリックすることでマルウェアに感染したとのこと。ただし、実際にこの方法で感染が広がったかどうかは証明されていないとMicrosoftは述べています。
MicrosoftはZINCが運営するブログ「br0vvnn.io」に訪れたことがある人はマルウェアに感染した可能性があると警告しており、アンチウイルスソフトなどでただちにスキャンするか、セキュリティ侵害インジケーターなどでの確認を行う必要があるとしています。
Azure-Sentinel/ZincJan272021IOCs.yaml at master · Azure/Azure-Sentinel · GitHub
https://github.com/Azure/Azure-Sentinel/blob/master/Detections/MultipleDataSources/ZincJan272021IOCs.yaml
GitHub - microsoft/Microsoft-365-Defender-Hunting-Queries: Sample queries for Advanced hunting in Microsoft 365 Defender
https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/
・関連記事
史上最狂の大規模ハッキング攻撃10選 - GIGAZINE
Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される - GIGAZINE
北朝鮮の関与が疑われるハッカー集団が世界中のインフラや企業をハッキングする「Operation GhostSecret」の存在が明らかに - GIGAZINE
Microsoftが「ロシアと北朝鮮が新型コロナワクチン関連の研究組織をハッキングした」と発表 - GIGAZINE
北朝鮮のハッカー集団が使う新型マルウェア「BLINDINGCAN」の分析情報をアメリカ政府組織が公開 - GIGAZINE
・関連コンテンツ