North Korean hackers

北朝鮮のハッカーが、最近パッチが適用されたGoogle Chromeのゼロデイ(CVE-2024-7971)を悪用し、Windowsカーネルを悪用してSYSTEM権限を得た後、FudModuleルートキットを展開した。

「CVE-2024-7971の悪用が確認されたことについて、私たちは高い信頼性をもって、経済的利益を得るために暗号通貨セクターを標的とする北朝鮮の脅威行為者に起因すると評価しています」とMicrosoftは金曜日に述べ、この攻撃はCitrine Sleet(以前はDEV-0139として追跡されていた)に起因するとした。

他のサイバーセキュリティ・ベンダーは、この北朝鮮の脅威グループをAppleJeus、Labyrinth Chollima、UNC4736として追跡しており、米国政府は北朝鮮政府がスポンサーとなっている悪意のある行為者を総称してHidden Cobraと呼んでいる。

シトリンみぞれは、暗号通貨組織と関連する個人を中心に金融機関を標的としており、以前は北朝鮮の偵察総局121局との関連が指摘されていた。

北朝鮮のハッカーはまた、正規の暗号通貨取引プラットフォームに見せかけた悪質なウェブサイトを使用し、潜在的な被害者を偽の求人アプリケーションや兵器化された暗号通貨ウォレットや取引アプリに感染させることでも知られている。

UNC4736は2023年3月、ビデオ会議ソフトウェア・メーカーである3CXのElectronベースのデスクトップ・クライアントをトロイの木馬化し、株式取引の自動化企業であるTrading Technologiesのサイトに侵入してトロイの木馬化されたX_TRADERソフトウェア・ビルドをプッシュした前回のサプライチェーン攻撃に続いています。

グーグルの脅威分析グループ(TAG)も2022年3月の報告書で、AppleJeusとトレーディング・テクノロジーズのウェブサイトの侵害を関連付けている。米国政府もまた、北朝鮮に支援された国家ハッカーがAppleJeusマルウェアで暗号通貨関連の企業や個人をターゲットにしていることについて、何年も前から警告していた。

Chromeのゼロデイ攻撃でWindowsカーネルがダウンロードされる

グーグルは先週、CVE-2024-7971ゼロデイにパッチを当て、ChromeのV8JavaScriptエンジンの一種の混乱の弱点であると説明した。この脆弱性により、脅威者は、攻撃者が管理するvoyagorclub[.]spaceのウェブサイトにリダイレクトされたターゲットのサンドボックス化されたChromiumレンダラー・プロセスにおいて、リモートでコードを実行することが可能になりました。

サンドボックスをエスケープした後、彼らは侵害されたWebブラウザを使用して、Windowsカーネル(今月のパッチチューズデーで修正された)のCVE-2024-38106欠陥を標的としたWindowsサンドボックスのエスケープエクスプロイトをダウンロードし、これによりSYSTEM権限を獲得しました。

このルートキットは、カーネルの改ざんやカーネル・オブジェクトの直接操作(DKOM)に使用され、カーネルのセキュリティ・メカニズムをバイパスすることができます。

このルートキットは、2022年10月に発見されて以来、Citrine Sleetが他の悪意のあるツールや攻撃インフラを共有する、北朝鮮の別のハッキンググループであるDiamond Sleetによっても使用されています。

「8月13日、マイクロソフトは、Gen Threat Labsによって特定されたWindowsのAFD.sysドライバのゼロデイ脆弱性(CVE-2024-38193)に対処するためのセキュリティ更新プログラムをリリースした

「6月上旬、Gen Threat Labsは、FudModuleルートキットを使用する攻撃でこの脆弱性を悪用するDiamond Sleetを特定した。

レドモンドは、CVE-2024-7971 Chromeのゼロデイを悪用した攻撃で標的となった組織の1つは、BlueNoroff(またはSapphire Sleet)として追跡されている別の北朝鮮の脅威グループによって以前にも標的とされていたと付け加えた。