北朝鮮のハッカーが悪用したGoogle Chromeの脆弱性について、Microsoftが警告

北朝鮮のサイバーグループ「Citrine Sleet」がChromiumのゼロデイ脆弱性を悪用

マイクロソフトは金曜日に報告書を発表し、先週、北朝鮮のサイバーグループ「Citrine Sleet」がChromiumブラウザのゼロデイ脆弱性を悪用していることを発見したと明らかにしました。この報告書は、マイクロソフト脅威インテリジェンスとマイクロソフトセキュリティ応答センター（MSRC）によって公開され、脆弱性はCVE-2024-7971として特定されました。これは、Chromiumで使用されるV8 JavascriptとWebassemblyエンジンにおける型混乱の欠陥です。

このゼロデイ脆弱性は、ブラウザの隔離されたレンダラープロセス内でリモートコード実行（RCE）を可能にし、攻撃者がターゲットシステム上で有害なコードを実行できるようにしました。マイクロソフトは以下のように述べています：

我々の継続的な分析と観測されたインフラストラクチャにより、この活動を中程度の確信を持ってCitrine Sleetに帰属させることができます。

Citrine Sleetは暗号通貨セクターに焦点を当て、経済的利益を追求していることが知られています。さらなる分析によれば、Citrine Sleetは、Fudmoduleルートキットマルウェアの使用を通じて、他の北朝鮮の脅威グループである「Diamond Sleet」とツールおよびインフラストラクチャを共有している可能性が示唆されています。この報告書は、「Applejeus」や「Hidden Cobra」などの別名でも知られるCitrine Sleetが、北朝鮮のサイバースパイユニット「Bureau 121」と関連していると指摘しています。このグループは、偽の暗号通貨サイトを設立したり、悪意のある求人情報や暗号通貨ウォレットを送信したりして被害者をだます、先進的な手法を利用しています。

Chromiumは、Google Chromeの基盤となるオープンソースのウェブブラウザプロジェクトであり、追加の独自機能やサービスが組み込まれています。ChromeはChromiumのコードベースを基に構築されているため、Chromiumの脆弱性は通常、Chromeにも影響を与えます。

ターゲットがドメインvoyagorclub[.]spaceに接続するとゼロデイエクスプロイトが使用され、マルウェアのダウンロードとWindowsセキュリティサンドボックスからの脱出が行われました。マイクロソフトは8月13日にこの脆弱性にパッチを当てましたが、Citrine Sleetの活動との直接のリンクはなく、異なるグループによって同時にあるいは共有されたインテリジェンスを通じて発見された可能性が示唆されました。

マイクロソフトは以下のように助言しています：

ゼロデイエクスプロイトには、システムを最新の状態に保つだけでなく、サイバー攻撃チェーン全体にわたって統一された可視性を提供し、エクスプロイト後の攻撃者ツールや悪意のある活動を検出しブロックするセキュリティソリューションが必要です。

この報告書は、特に暗号通貨セクターにおける複雑なサイバー脅威に対抗するため、システムを最新の状態に保ち、高度なセキュリティプロトコルを実装する緊急性を強調しました。マイクロソフトは、オペレーティングシステムとアプリケーションの迅速な更新の必要性を強調し、次のように助言しました：「オペレーティングシステムとアプリケーションを最新の状態に保ち、可能な限り早急にセキュリティパッチを適用してください。」また、ユーザーに対し「Google Chromeウェブブラウザがバージョン128.0.6613.84以降に更新されていることを確認してください」と推奨しました。

Chromiumのゼロデイ脆弱性を悪用する北朝鮮のサイバーグループの発見について、あなたのご意見をコメント欄でお聞かせください。