悪名高いLazarus Group(そのBlueNoroffサブグループを含む)による最近発見されたサイバー攻撃により、Google Chromeの新たな脆弱性が明らかになりました。
同グループはゼロデイ攻撃を用いて感染したシステムを完全に掌握し、北朝鮮の支援を受ける脅威アクターによる高度なキャンペーンの長い連続の最新例となりました。
このキャンペーンは、Kaspersky Total Securityがロシアの個人用コンピューター上でManuscryptマルウェアの新たな事例を検知したことで明らかになりました。
Lazarusの代表的ツールであるManuscryptは、少なくとも2013年から使用されており、政府、金融機関、暗号資産プラットフォームなどを標的とした50件以上の記録済みキャンペーンに登場しています。しかし、このケースは、同グループが個人を直接標的にすることがまれである点で際立っていました。
Google Chromeのゼロデイ攻撃によりシステムを完全制御可能に
さらなる調査により、感染はdetankzone[.]comという欺瞞的なウェブサイトに遡ることが判明しました。同サイトは正規の分散型金融(DeFi)ゲームプラットフォームを装っていました。訪問者はChromeでアクセスするだけで、知らないうちにエクスプロイトを発動させていました。NFTベースのマルチプレイヤーオンラインバトルアリーナとして宣伝されていたこのゲームは単なる偽装で、ブラウザ経由でユーザーのシステムを乗っ取る悪意あるコードを隠していました。
このエクスプロイトは、ChromeのV8 JavaScriptエンジンに新たに導入された機能を標的としており、攻撃者がブラウザのセキュリティ機構を回避して、影響を受けたデバイスを遠隔操作できるようにしました。Kasperskyの研究者は直ちにこの脆弱性をGoogleに報告し、Googleは2日以内にパッチを公開しました。
このキャンペーンの中核にある主な脆弱性は次のとおりです。
-
CVE-2024-4947: Chromeの新しいMaglevコンパイラにおける欠陥で、攻撃者が重要なメモリ構造を上書きできる
-
V8 Sandbox Bypass: 2つ目の脆弱性により、LazarusはChromeのメモリ保護機能を回避して任意のコードを実行できた
ブラウザを狙った攻撃について詳しく読む: 昨年、ブラウザのフィッシング脅威が198%増加
Kasperskyは責任ある情報開示の慣行に従っていましたが、Microsoftが関連レポートを公開した際、キャンペーンのゼロデイ要素を見落としていたと報じられています。これを受けてKasperskyは追加の詳細を提供し、脆弱性の重大性と、ユーザーが直ちにブラウザを更新する必要性を強調しました。
Lazarusが手法を洗練させ続け、ソーシャルエンジニアリング、ゼロデイ攻撃、正規に見えるプラットフォームを活用する中で、組織も個人も同様に警戒を怠らないことが求められます。
画像クレジット: Alberto Garcia Guillen / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/lazarus-group-exploits-google/
