セキュリティ

北朝鮮のサイバー犯罪グループ「APT37」がInternet Explorerのゼロデイ脆弱性を突く攻撃を行っていたと判明


Googleの脅威分析グループ(TAG)が、「APT37」「Reaper」というコードネームで呼ばれる北朝鮮のサイバー犯罪グループが2022年10月にInternet Explorerのゼロデイ脆弱(ぜいじゃく)性を悪用して攻撃していたことを突き止めたと発表しました。この攻撃は、2022年11月のセキュリティ更新プログラムをインストールしていないWindows 7以降あるいはWindows Server 2008以降を搭載したマシンを対象としているとのことです。

Internet Explorer 0-day exploited by North Korean actor APT37
https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/


Google found North Korea used a tragedy to exploit Internet Explorer vulnerability - The Verge
https://www.theverge.com/2022/12/7/23498226/google-north-korea-exploited-internet-explorer-vulnerability-security

セキュリティ企業・FireEyeの(PDFファイル)報告書によると、APT37はこれまでにスピアフィッシングソーシャルエンジニアリングを駆使していることが確認されています。具体的には韓国で広く使われているハングルワープロソフトの脆弱性を悪用していたほか、2018年にはAdobe Flashのゼロデイ脆弱性(CVE-2018-4878)を利用した攻撃を行っていることも確認されています。

今回APT37が悪用したとみられるのは、Internet ExplorerのJavaScriptエンジン「jscript9.dll」が抱えるゼロデイ脆弱性「CVE-2022-41128」です。Google TAGによると、Internet Explorerは2022年6月16日にサポート終了となりましたが、Microsoft OfficeではまだInternet ExplorerのJavaScriptエンジンを使っており、2022年11月8月に配信されたセキュリティ更新プログラムをインストールしていないWindows 7以降あるいはWindows Server 2008以降を搭載したマシンで動作していたとのこと。

Google TAGは2022年10月31日に、「221031 Seoul Yongsan Itaewon accident response situation (06:00).docx」というタイトルのMicrosoft Office文書がオンライン上にアップロードされていることに気付いたとのこと。この文書は韓国・ソウルの梨泰院で2022年10月29日に発生した雑踏事故について書かれたもので、開くとリッチテキストファイルのテンプレートをダウンロードし、HTMLコンテンツを取得します。このHTMLコンテンツをレンダリングする時にInternet ExplorerのJavaScriptエンジンが使われ、任意のコードが実行される可能性があるとのこと。


Google TAGはこの攻撃の最終的なペイロードを回収することができなかったものの、以前にAPT37がさまざまなマルウェアを攻撃対象のマシンにダウンロードさせていたことから、この文書も同様の攻撃を行うと予想しています。

Google TAGは「MicrosoftチームによるCVE-2018-4878への迅速な対応とパッチ適用を認識していないのは不注意だと言わざるを得ません」と述べ、パッチの早急な適用と警戒を促しています。

この記事のタイトルとURLをコピーする

・関連記事
北朝鮮のハッカーグループ・キムスキーのマルウェア「Gold Dragon」がターゲットのみを攻撃する巧妙な手口とは? - GIGAZINE

北朝鮮は仮想通貨の窃盗が政権の主要な収入源の1つになっている - GIGAZINE

北朝鮮に盗まれた約40億円相当の仮想通貨を取り返すことに成功 - GIGAZINE

北朝鮮のハッカーグループ・キムスキーのマルウェア「Gold Dragon」がターゲットのみを攻撃する巧妙な手口とは? - GIGAZINE

北朝鮮のハッカーがGmailの中身を盗み見る巧妙な手口とは? - GIGAZINE

「北朝鮮のハッカーを誤って雇わないように」とFBIが警告 - GIGAZINE

北朝鮮のハッカーグループがChromeのゼロデイ脆弱性「CVE-2022-0609」を悪用していたと判明 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.