North Korean Hackers Deploy FudModule Rootkit via Chrome Zero-Day Exploit
2024/08/31 TheHackerNews — 最近になって修正された Google Chrome/Chromium ブラウザの脆弱性が、北朝鮮の攻撃者によってゼロデイとして侵害され、FudModule ルートキットを配信するキャンペーンで悪用されている。この展開が示唆するのは、この数か月にわたって継続的に活動し、Windows のゼロデイ・エクスプロイトを大量に武器化してきた、国家に支援される脅威アクターたちの状況である。
2024年8月19日の時点で、このアクティビティを検出した Microsoft は、Citrine Sleet (旧称 DEV-0139/DEV-1222) として追跡している脅威アクターによるものだと特定した。この脅威アクターは、AppleJeus/Labyrinth Chollima/Nickel Academy/UNC4736 などの名でも知られている。そして、Lazarus Group (別名 Diamond Sleet/Hidden Cobra) 内のサブクラスターであると評価されている。
以前の Kaspersky の調査により、BlueNoroff (別名 APT38/Nickel Gladstone/Stardust Chollima) と呼ばれる、別の Lazarus サブグループが AppleJeus マルウェアを使用したことが特定されている。したがって、これらの脅威アクター間において、インフラとツールセットが共有されていることが示唆される。
Microsoft Threat Intelligence チームは、「Citrine Sleet は北朝鮮を拠点とし、金融機関などを金銭目的のために標的としているが、その中でも、暗号通貨を管理する組織/個人に攻撃対象を絞り込んでいる。また Citrine Sleet は、ソーシャル・エンジニアリング戦術の一環として、暗号通貨業界に関連する個人を徹底的に偵察している」と述べている。
このグループによる攻撃チェーンは、正当な暗号通貨取引プラットフォームを装う偽の Web サイトを設定し、ユーザーを騙して武器化された暗号通貨ウォレットや取引アプリケーションをインストールさせ、デジタル資産を容易に盗み出すというものだ。
Citrine Sleet によるゼロデイ・エクスプロイト攻撃は、脆弱性 CVE-2024-7971 の悪用を伴うものである。この脆弱性は、V8 JavaScript および WebAssembly エンジンに存在する、深刻の高いタイプ・コンヒュージョンの欠陥であり、サンドボックス化された Chromium レンダラー・プロセスにおいて、リモート・コード実行 (RCE) の可能性が生じるとされる。この問題は、先週リリースされた Chrome アップデートの一部として、Google により修正されている。
以前に The Hacker News が指摘していたように、今年になって積極的に悪用された、3番目の V8 タイプ・コンヒュージョンのバグが CVE-2024-7971 であり、CVE-2024-4947/CVE-2024-5274 に続いて、Google により解決されている。
現時点において、一連の攻撃の広がりのレベルや、標的の特定については不明であるが、ソーシャル・エンジニアリング手法を通じて voyagorclub[.]space という悪意のある Web サイトに誘導された被害者に対して、脆弱性 CVE-2024-7971 のエクスプロイトがトリガーされたと言われている。
このエクスプロイトにより、Windows サンドボックス・ エスケープ・エクスプロイトである CVE-2024-38106 と、FudModule ルートキットが仕込まれたシェルコードの取得への道が開かれる。
さらに、FudModule ルートキットにより、Windows ベース・システムの管理者を装うカーネル・アクセスが確立し、基本機能の Read/Write が許可される。つまり、この感染チェーンにより、カーネル・オブジェクトのダイレクトな操作が実行されることになる。
前述の、Windows カーネルに存在する権限昇格の脆弱性 CVE-2024-38106 は、2024年8月の Patch Tuesday で修正したものだが、現在も悪用されていることになる。つまり、この脆弱性の Citrine Sleet による悪用は、修正がリリースされた後に発生したことが判明している。
FudModule ルートキットをドロップするために、今年に入ってから北朝鮮の攻撃者が悪用した脆弱性は、CVE-2024-7971 で3番目となる。これは、Windows ドライバーにおける権限昇格の脆弱性 CVE-2024-21338/CVE-2024-38193 に続くものだが、それらは2月と8の時点で、Microsoft により修正されている。
Microsoft は、「CVE-2024-7971 のエクスプロイト・チェーンは、複数のコンポーネントに依存するかたちでターゲットを侵害する。したがって、CVE-2024-38106 が存在するコンポーネントなどがブロックされると、この攻撃チェーンは失敗する」と述べている。
ゼロデイ・エクスプロイトに対抗するためには、システムを最新の状態に保つだけではなく、サイバー攻撃チェーン全体に対して統一された可視性を持ち、侵害後の攻撃ツールと悪意のアクティビティを検出してブロックするための、セキュリティ・ソリューションが必要となる。
昨日である 2024/08/30 にも、「Chrome の脆弱性 CVE-2024-5274 の PoC が公開:すでに悪用が確認されている」という記事をポストしています。ひょっとして、同じソースからの記事を被って訳してしまったかと思いましたが、そうではないようです。とにかく狙われる Chrome という感じですね。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.