北朝鮮のサイバー犯罪グループ「APT37」がInternet Explorerのゼロデイ脆弱性を突く攻撃を行っていたと判明

Googleの脅威分析グループ(TAG)が、「APT37」「Reaper」というコードネームで呼ばれる北朝鮮のサイバー犯罪グループが2022年10月にInternet Explorerのゼロデイ脆弱(ぜいじゃく)性を悪用して攻撃していたことを突き止めたと発表しました。この攻撃は、2022年11月のセキュリティ更新プログラムをインストールしていないWindows 7以降あるいはWindows Server 2008以降を搭載したマシンを対象としているとのことです。

Internet Explorer 0-day exploited by North Korean actor APT37
https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/

Google found North Korea used a tragedy to exploit Internet Explorer vulnerability - The Verge
https://www.theverge.com/2022/12/7/23498226/google-north-korea-exploited-internet-explorer-vulnerability-security

セキュリティ企業・FireEyeの(PDFファイル)報告書によると、APT37はこれまでにスピアフィッシングやソーシャルエンジニアリングを駆使していることが確認されています。具体的には韓国で広く使われているハングルワープロソフトの脆弱性を悪用していたほか、2018年にはAdobe Flashのゼロデイ脆弱性(CVE-2018-4878)を利用した攻撃を行っていることも確認されています。

今回APT37が悪用したとみられるのは、Internet ExplorerのJavaScriptエンジン「jscript9.dll」が抱えるゼロデイ脆弱性「CVE-2022-41128」です。Google TAGによると、Internet Explorerは2022年6月16日にサポート終了となりましたが、Microsoft OfficeではまだInternet ExplorerのJavaScriptエンジンを使っており、2022年11月8月に配信されたセキュリティ更新プログラムをインストールしていないWindows 7以降あるいはWindows Server 2008以降を搭載したマシンで動作していたとのこと。

Google TAGは2022年10月31日に、「221031 Seoul Yongsan Itaewon accident response situation (06:00).docx」というタイトルのMicrosoft Office文書がオンライン上にアップロードされていることに気付いたとのこと。この文書は韓国・ソウルの梨泰院で2022年10月29日に発生した雑踏事故について書かれたもので、開くとリッチテキストファイルのテンプレートをダウンロードし、HTMLコンテンツを取得します。このHTMLコンテンツをレンダリングする時にInternet ExplorerのJavaScriptエンジンが使われ、任意のコードが実行される可能性があるとのこと。

Google TAGはこの攻撃の最終的なペイロードを回収することができなかったものの、以前にAPT37がさまざまなマルウェアを攻撃対象のマシンにダウンロードさせていたことから、この文書も同様の攻撃を行うと予想しています。

Google TAGは「MicrosoftチームによるCVE-2018-4878への迅速な対応とパッチ適用を認識していないのは不注意だと言わざるを得ません」と述べ、パッチの早急な適用と警戒を促しています。