北朝鮮のハッカーグループがChromeのゼロデイ脆弱性「CVE-2022-0609」を悪用していたと判明

北朝鮮政府の支援を受けたハッカーが、Chromeのゼロデイ脆弱(ぜいじゃく)性「CVE-2022-0609」を悪用して、アメリカを拠点とするニュースメディアやIT、仮想通貨、金融サービスなど幅広い業界で働く数百人のコンピューターにマルウェアを感染させようとしたと、Googleが木曜日に発表しました。

Countering threats from North Korea
https://blog.google/threat-analysis-group/countering-threats-north-korea/

North Korean hackers unleashed Chrome 0-day exploit on hundreds of US targets | Ars Technica
https://arstechnica.com/information-technology/2022/03/north-korean-hackers-unleashed-chrome-0-day-exploit-on-hundreds-of-us-targets/

問題となったゼロデイ脆弱性のCVE-2022-0609はChrome上でアニメーションを動作させた後の解放メモリを悪用してリモートコードを実行できてしまうものです。このゼロデイ脆弱性は2つの独立した北朝鮮のハッキンググループによって悪用されており、それぞれ「Operation Dream Job」「Operation AppleJeus」として認識されていました。

Operation Dream Jobは2020年6月ごろから確認されているキャンペーンで、10の異なるニュースメディアやドメインレジストラ、ウェブホスティングプロバイダー、ソフトウェアベンダーで働く250人以上の個人がターゲットとなりました。被害者はディズニーやGoogle、Oracleのリクルーターを名乗る人物から「実はこっそりと人材を募集している」というウソのメールを送りつけられたとのこと。このメールには、IndeedやZip Recruiterといった有名求人サイトを装ったリンクが含まれており、ターゲットがこのリンクをクリックすると、CVE-2022-0609を悪用するエクスプロイトキットがiframeで展開されました。

Operation AppleJeusは2018年から確認されているそうで、仮想通貨やフィンテック業界で働く85人以上を標的にしたキャンペーンです。ハッキンググループは、エクスプロイトキットをiframeで展開するサイトのリンクを、フィンテック企業のウェブサイトを装ってターゲットに送りつけました。

エクスプロイトキットは、被害者のクライアント情報を可能な限り収集し、ハッキング用のサーバーに送信します。また、情報収集だけではなく、ネットバンクや仮想通貨取引所へのハッキングも行ったとのこと。使用されているマルウェアはストレージに自らの痕跡を残さず、メモリ内だけで動作するにもかかわらず高度な機能を持つため、検出が非常に困難であるそうです。

また、Operation AppleJeusは、北朝鮮政府が支援するハッキンググループの犯行としては初めて「macOS向けに書かれたマルウェア」が使用されていたことが特徴だとGoogleは述べています。

Googleの脅威分析グループによれば、CVE-2022-0609の存在が明らかになったのは2022年2月のことでした。しかし、少なくとも2018年ごろから攻撃が始まっていたことから、北朝鮮のハッキンググループはずっと以前からこのゼロデイ脆弱性に気づいていた模様。北朝鮮のハッカーグループは過去にも、Chromeの別のゼロデイ脆弱性を利用して攻撃を行っていたことがありました。

北朝鮮のハッカーがChromeのゼロデイ脆弱性を利用して行った攻撃についてMicrosoftがレポートを公開 - GIGAZINE

なお、記事作成時点でChromeの最新版であるバージョン99以降であれば、CVE-2022-0609はすでに修正されているそうです。