偽ゲームサイトでマルウェアに感染、Chromeユーザーが標的

画像提供：マイナビニュース

Kaspersky Labは10月23日(現地時間)、「Lazarus APT steals cryptocurrency and user data via a decoy MOBA game｜Securelist」において、北朝鮮の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループ「Lazarus」による新しいマルウェア配布キャンペーンを発見したとして、分析結果を公開した。

○侵害手順

2024年5月に発見されたこのキャンペーンでは、Google Chromeに存在したゼロデイの脆弱性が悪用された。被害者がゲームサイトに偽装した悪意のあるWebサイトにアクセスすると、ゼロクリックでマルウェア「Manuscrypt」に感染したとされる。

発見された脆弱性のうち1件は「CVE-2024-4947」として追跡されている。もう1件は「V8 Sandbox escape via regexp [330404819] - Chromium」にて詳細が報告されている。

具体的な侵害手順は次のとおり。

被害者が悪意のあるWebサイト「detankzone[.]com」にアクセスする
Webサイトに設置された悪意のあるJavaScriptが実行され、脆弱性「CVE-2024-4947」によりサンドボックス内のメモリアクセスが可能になる
サンドボックス外側のメモリ空間へのアクセスには上位32ビットのアドレスを特定する必要がある。この問題を脆弱性「330404819」を使用して解決
Chromeプロセスのメモリ空間全体へのアクセスを取得し、次の攻撃を開始する

Kaspersky Labによると、この次の攻撃に使用されたエクスプロイトがすでにWebサイトから削除されており、マルウェア実行までの手順を追うことはできなかったという。そこで調査を一旦終了し、2024年5月13日、Googleに脆弱性を報告している。
○責任ある情報開示

Kasperskyは責任ある情報開示に基づき、Googleと協議の上で情報公開を本日まで遅らせている。しかしながら、2024年5月末ごろ、Microsoftがこの事案と同じ戦車ゲームを配布する悪意のあるWebサイトの情報を公開したという(参考：「北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは？Microsoftが特定 | TECH+（テックプラス）」)。

MicrosoftはKasperskyとGoogleの協議を知る由もなく非はない。また、Microsoftの情報公開時点で悪意のあるWebサイトの攻撃は機能しておらず、記事を閲覧してアクセスしたChromeユーザーが感染した可能性は低いと考えられる。

発見された脆弱性はChromeバージョン125.0.6422.60にて修正されている。Chromeの利用者には同様の攻撃を回避するため、最新バージョンへのアップデートが推奨されている。
（後藤大地）