カスペルスキーのグローバル調査分析チーム(GReAT)は水曜日、悪名高い北朝鮮のLazarus Advanced Persistent Threat(APT)グループが、現在パッチが適用されているGoogle Chromeのゼロデイ脆弱性を、偽の分散型金融(DeFi)ゲームを通じて悪用し、スパイウェアをインストールして窃盗を行ったことを明らかにした。ウォレットの認証情報。
2024 年 5 月 13 日、カスペルスキーの専門家は、ロシアの顧客のコンピューターの 1 台でバックドア マルウェア「Manuscrypt」の新しい亜種を特定した後、2024 年 2 月に始まった悪意のあるキャンペーンを発見しました。
Lazarus は少なくとも 2013 年から Manuscrypt マルウェアを使用しており、さまざまな業界を対象とした 50 以上の独自のキャンペーンで使用されています。
カスペルスキーによって発見された洗練された悪意のあるキャンペーンは、仮想通貨投資家をターゲットとするソーシャル エンジニアリング技術と生成 AI に大きく依存していました。
カスペルスキーの研究者は、攻撃者が 2 つの脆弱性を悪用したことを発見し、そのうちの 1 つは次のように追跡されました。CVE-2024-4947、Google Chrome の V8 ブラウザ エンジンに存在するこれまで知られていなかったゼロデイ バグにより、リモートの攻撃者が細工された HTML ページを介してサンドボックス内で任意のコードを実行することが可能になりました。
この脆弱性は、カスペルスキーが同社に欠陥を報告した後、2024 年 5 月 25 日に Google によって Chrome バージョン 125.0.6422.60/.61 で修正されました。
さらに、2 番目の脆弱性により、攻撃者は Google Chrome の V8 サンドボックス保護をバイパスすることができました。 Google は 2024 年 3 月にサンドボックス バイパスの脆弱性を修正しました。
攻撃者はキャンペーンのために、Web サイト「detankzone[.]com」から発信された Google Chrome Web ブラウザを悪用しました。
カスペルスキーの研究者は「表面的には、このウェブサイトは、分散型金融(DeFi)NFTベース(代替不可能なトークン)マルチプレイヤーオンラインバトルアリーナ(MOBA)タンクゲーム用に専門的にデザインされた製品ページに似ており、ユーザーに試用版のダウンロードを促していた」としている。ボリス・ラリンとヴァシリー・ベルドニコフ言った。
「しかし、それは単なる変装でした。この Web サイトの内部には、ユーザーの Google Chrome ブラウザで実行される隠しスクリプトがあり、ゼロデイ エクスプロイトを開始して、攻撃者が被害者の PC を完全に制御できるようにしていました。 Web サイトにアクセスするだけで感染するのです。ゲームは単なる気晴らしでした。」
カスペルスキーは、攻撃者が正規の NFT ゲームである DeFiTankLand (DFTL) を偽のゲームのプロトタイプとして使用し、そのデザインをオリジナルと非常によく似たままにしていることを発見しました。幻想をシームレスに維持するために、偽のゲームは盗まれたソース コードを使用して開発されました。ただし、ロゴと参照はオリジナルのバージョンから変更されています。
研究者らはまた、攻撃者が仮想通貨分野の影響力のある人物に連絡して、悪意のあるウェブサイトを宣伝させたと付け加えた。彼らの暗号通貨ウォレットも侵害された可能性があります。
2024 年 2 月 20 日、攻撃者はキャンペーンを開始し、X 上で戦車ゲームの宣伝を開始しました。その後、DeFiTankLand のウォレットの開発者から 20,000 ドル相当の暗号通貨 DFTL2 コインが盗まれました。
プロジェクト開発者らは内部関係者の犯行だと主張しているが、カスペルスキーは攻撃の背後にはLazarusグループがいると考えている。
「これまでもAPT攻撃者が金銭的利益を追求するのを見てきましたが、このキャンペーンはユニークでした。攻撃者は、完全に機能するゲームを隠れ蓑として使用し、Google Chrome のゼロデイを悪用し、標的のシステムに感染するという典型的な戦術を超えました。 Lazarus のような悪名高い攻撃者を使用すると、ソーシャル ネットワークや電子メール内のリンクをクリックするなど、一見無害に見える行為でも、パーソナル コンピューターや企業ネットワーク全体が完全に侵害される可能性があります。このキャンペーンに多大な労力が費やされたことは、彼らが野心的な計画を持っていたことを示唆しており、実際の影響はさらに広範囲に及ぶ可能性があり、世界中のユーザーや企業に影響を与える可能性があります」とラリン氏はコメントした。
