北朝鮮のハッキンググループ「Lazarus」は、暗号通貨分野の個人を標的とした偽の分散型金融(DeFi)ゲームを通じて、CVE-2024-4947として追跡されているGoogle Chromeのゼロデイを悪用しました。
カスペルスキーは2024年5月13日にこの攻撃を発見し、Chromeのゼロデイ欠陥をGoogleに報告しました。
Googleは5月25日、Chromeバージョン125.0.6422.60/.61でCVE-2024-4947の修正プログラムを発表した。
Lazarus 戦車ゲーム
カスペルスキーは、2024年2月に始まったこのキャンペーンを、ロシアのある顧客のパソコンでバックドア型マルウェア「Manuscrypt」の新しい亜種を検出した後に発見しました。
Lazarusは何年も前からManuscryptを使用していましたが、研究者は、無作為の個人を含むと思われる脅威行為者の非典型的な標的範囲に興味をそそられました。
さらに遠隔測定を行ったところ、新しいManuscryptペイロードが検出される前にGoogle Chromeが悪用されており、その悪用元は “detankzone[.]com “というウェブサイトでした。このウェブサイトは、DeTankZoneという戦車をテーマにしたNFTベースのマルチプレイヤーオンラインバトルアリーナ(MOBA)ゲームを宣伝していました。
Lazarusは、Xのようなソーシャル・メディア・プラットフォームでの広告キャンペーン、スピアフィッシングEメール、そして価値の高いターゲットへの直接攻撃に使用されたLinkedInのプレミアム・アカウントを通じて、このゲームを大々的に宣伝しました。
カスペルスキーは、このゲームをダウンロードし、リザーブ・エンジニアリングを行った結果、このゲームが DeFiTankLand という名前の正規のゲームから盗まれたソースコードをベースにしており、Lazarus が単に彼らの目的のためにリブランディングしたものであることを発見しました。
400MBのZIPファイルをダウンロードすると、予想通り起動しますが、ゲームのバックエンドインフラがシャットダウンされているため、ログイン/登録画面を過ぎても動作しません。さらに、ターゲットのシステム上で悪意のあるアクションは実行されませんでした。
Google Chromeの悪用は、detankzone[.]comのWebサイト自体で発生します。このWebサイトには、ChromeのJavascriptエンジンであるV8の型の混乱であるCVE-2024-4947を悪用するように設計された隠しスクリプト(index.tsx)が含まれていました。
ソースはこちら:カスペルスキー
Lazarusの悪用スクリプトは、アプリのJITコンパイラであるMaglevを活用してChromeのメモリを破壊し、最終的にChromeのプロセスのアドレス空間全体にアクセスできるようにするセクションを上書きします。
この段階で、攻撃者はクッキー、認証トークン、保存されたパスワード、閲覧履歴にアクセスできるようになりました。
ソースはこちら:カスペルスキー
ChromeのV8サンドボックスはJavaScriptの実行をシステムの他の部分から隔離しているため、LazarusはV8の2つ目の欠陥を使ってサンドボックスを抜け出し、リモートでコードを実行し、システムのメモリ内でシェルコードを実行した。
「この問題(330404819)は2024年3月に提出され、修正されました。
“バグの衝突であり、攻撃者が最初に発見して0日脆弱性として最初に悪用したのか、1日脆弱性として最初に悪用したのかは不明です。”
Lazarusが使用したシェルコードは偵察ツールとして機能し、攻撃者が侵害されたマシンが攻撃を継続するのに十分な価値があるかどうかを判断するのに役立つ。
CPU、BIOS、OSの情報を収集し、アンチVMとアンチデバッグのチェックを行い、Lazarusのコマンド・アンド・コントロール(C2)サーバーに情報を送信した。
カスペルスキーは、分析までにLazarusがおとりサイトからエクスプロイトを削除していたため、その後の攻撃ステップを検証する機会がありませんでした。
しかし、悪意のあるキャンペーンが標的とした人物とその過去の履歴から、この攻撃の最終目的は暗号通貨を盗むことであった可能性が高い。
Comments