北朝鮮のサイバースパイ集団が、インターネット上で最も人気のある北朝鮮をテーマにしたニュースサイトに侵入し、水飲み場攻撃を行い、サイトの訪問者の一部にマルウェアを感染させていました。
セキュリティ企業のVolexity社が発表したレポートによると、この水飲み場攻撃は、少なくとも2021年3月下旬から2021年6月上旬まで継続していたとしています。
攻撃ツールは、JavaScriptファイルを使ってサイトに読み込まれる2つのブラウザエクスプロイトで構成されており、古いInternet ExplorerやレガシーなEdgeブラウザを使ってDaily NKのサイトを訪れたユーザーのシステムに感染します。
Volexity社によると、攻撃者は古いIEの脆弱性であるCVE-2020-1380とIEおよびレガシーEdgeブラウザの新しいエクスプロイトであるCVE-2021-26411を利用していたとのことです。
この2つの脆弱性について、攻撃社は過去数カ月間にオンラインで公開されたPOCコードを使用していました
これらの攻撃の最終的な目的は、時期によって異なりますが、他のマルウェアを展開するために使用される可能性のあるCobalt Strikeバックドアビーコンやシェルコードや他のアプリをダウンロードして実行したり、ローカルファイルを検索したりするために使用される可能性のあるBlueLightと呼ばれる新しいマルウェアの感染が含まれていました。
攻撃の範囲や、何人のユーザーが感染したのかは現在のところ不明です。
デイリーNKのウェブサイトは、インターネット上で最も人気のあるウェブサイトのトップ50,000に入っています。
韓国で運営され、英語で公開されているこのウェブサイトは、北朝鮮に関する話題を扱うことで知られており、北朝鮮の政治に関するトップの情報源および主題の専門家であると考えられています。
Volexity社は、デイリーNKのサーバーへの侵入はAPT37、ScarCruft、Ricochet Chollima、InkySquidなどのコードネームでサイバーセキュリティコミュニティで知られる北朝鮮のサイバースパイグループの仕業としています。
Comments