偽ゲームサイトでマルウェアに感染、Chromeユーザーが標的
マイナビニュース / 2024年10月24日 18時12分
Kaspersky Labは10月23日(現地時間)、「Lazarus APT steals cryptocurrency and user data via a decoy MOBA game|Securelist」において、北朝鮮の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループ「Lazarus」による新しいマルウェア配布キャンペーンを発見したとして、分析結果を公開した。
○侵害手順
2024年5月に発見されたこのキャンペーンでは、Google Chromeに存在したゼロデイの脆弱性が悪用された。被害者がゲームサイトに偽装した悪意のあるWebサイトにアクセスすると、ゼロクリックでマルウェア「Manuscrypt」に感染したとされる。
発見された脆弱性のうち1件は「CVE-2024-4947」として追跡されている。もう1件は「V8 Sandbox escape via regexp [330404819] - Chromium」にて詳細が報告されている。
具体的な侵害手順は次のとおり。
被害者が悪意のあるWebサイト「detankzone[.]com」にアクセスする
Webサイトに設置された悪意のあるJavaScriptが実行され、脆弱性「CVE-2024-4947」によりサンドボックス内のメモリアクセスが可能になる
サンドボックス外側のメモリ空間へのアクセスには上位32ビットのアドレスを特定する必要がある。この問題を脆弱性「330404819」を使用して解決
Chromeプロセスのメモリ空間全体へのアクセスを取得し、次の攻撃を開始する
Kaspersky Labによると、この次の攻撃に使用されたエクスプロイトがすでにWebサイトから削除されており、マルウェア実行までの手順を追うことはできなかったという。そこで調査を一旦終了し、2024年5月13日、Googleに脆弱性を報告している。
○責任ある情報開示
Kasperskyは責任ある情報開示に基づき、Googleと協議の上で情報公開を本日まで遅らせている。しかしながら、2024年5月末ごろ、Microsoftがこの事案と同じ戦車ゲームを配布する悪意のあるWebサイトの情報を公開したという(参考:「北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは?Microsoftが特定 | TECH+(テックプラス)」)。
MicrosoftはKasperskyとGoogleの協議を知る由もなく非はない。また、Microsoftの情報公開時点で悪意のあるWebサイトの攻撃は機能しておらず、記事を閲覧してアクセスしたChromeユーザーが感染した可能性は低いと考えられる。
発見された脆弱性はChromeバージョン125.0.6422.60にて修正されている。Chromeの利用者には同様の攻撃を回避するため、最新バージョンへのアップデートが推奨されている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
APT攻撃グループ「Lazarus」が、Google Chromeのゼロデイ脆弱性を悪用し暗号資産を窃取していたことを発見
PR TIMES / 2024年10月27日 22時40分
-
Fortinet、悪用されたFortiManagerのゼロデイ脆弱性について公表
ITmedia NEWS / 2024年10月24日 14時33分
-
チェック・ポイント・リサーチ、2024年9月に最も活発だったマルウェアを発表 RansomHubが猛威を振るい続ける一方、AIを活用したマルウェアが増加中
PR TIMES / 2024年10月21日 15時45分
-
Internet Explorerにゼロデイ脆弱性、北朝鮮のサイバー攻撃者が悪用
マイナビニュース / 2024年10月21日 8時40分
-
Kaspersky、バックドア「PipeMagic」を使用した企業を狙う攻撃活動の再開を確認
PR TIMES / 2024年10月18日 16時40分
ランキング
-
1大型新人VTuber結城さくな、初配信300万回視聴超え
ASCII.jp / 2024年10月28日 13時5分
-
2ビジネスパーソンが押さえておくべきランサムウェア最新動向 第16回 ロシアのサイバー攻撃グループが操るUndergroundランサムウェアに注意
マイナビニュース / 2024年10月28日 9時29分
-
3これはちょうどいいSSDだ! 容量2TBの「FireCuda 530R」を試して分かったこと
ITmedia PC USER / 2024年10月28日 14時0分
-
4「青春18きっぷ」元に戻すよう求めるネット署名、1万件超え
ASCII.jp / 2024年10月28日 15時0分
-
5「どうぶつの森 ポケットキャンプ」終了→買い切り版へ サービス引き継ぎに「完璧すぎる」称賛の声
J-CASTニュース / 2024年10月28日 14時10分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください