【北「Lazarus」ゲームを悪用してマルウェア拡散】サイバー脅威と政策に関する重要ニュース
こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。
以下、2024年10月25日付の韓国メディアの『保安ニュース』の記事を翻訳・編集した内容になります。
https://www.boannews.com/media/view.asp?idx=133809&kind=
北「Lazarus」ゲームを悪用してマルウェア拡散
「Lazarus」がSNSにゲーム広告掲載
被害者のPCにマルウェア浸透
SNSのゲーム広告も要注意
3行サマリー
1. LazarusがSNSでゲーム広告を掲載し被害者続出
2. 実際のゲームのソースコードを盗んだ後、自分たちの好みに合わせて改造して活用
3. Google Chromeブラウザのゼロデイ脆弱性をエクスプロイト
(本文)
北のハッカーたちが今回はオンラインゲームを悪用してマルウェアをばら撒いています。
カスペルスキーによると、このキャンペーンの背後には「Lazarus」とそのサブグループ「BlueNoroff」の存在があります。
このキャンペーンで、「Manuscrypt」というバックドアが拡散しているとし、北のハッカーらが改めて集中的に情報の窃取を行っている模様です。
ターゲットは政府、金融、IT、国防、ギャンブル、メディア、大学など様々です。
「Lazarus」と「BlueNoroff」はキャンペーンのためにまずウェブサイトを開設しました。カスペルスキーによると、このサイトはTypeScriptとReactで開発されており、これに関連するChromeの脆弱性は合計2つで、1つはChromeプロセスメモリから読み書きできるようにすること、もう1つはV8サンドボックスのバイパスです。
2つの脆弱性
最初の脆弱性の管理番号はCVE-2024-4947です。Googleは2023年第4四半期にChrome 117を発表しましたが、この時点で新しいコンパイラが同時に公開されました。この「Maglev」というコンパイラは以前のコンパイラに比べて良質のコードを素早く生成する機能を持っています。しかし、北のハッカーたちはここで更に新しい脆弱性を見つけました。CVE-2024-4947です。
エクスプロイトの原理についてカスペルスキーは次のように説明します。
「特定の状況でコンパイル中にエラーが発生すると、例外として処理されますが、これを何度も繰り返すと例外処理が実行されなくなります。その結果、エラーを引き起こした属性がチェックなしに実行されてしまうことにより発生する問題がCVE-2024-4947です。これを通じて攻撃者はChromeプロセスのアドレス空間全体で読み取りと書き込みを行うことができるようになります。」
2つ目の脆弱性の管理番号はありません。V8というChromeのサンドボックスを迂回させることで、カスペルスキーによると、既存の様々な仮想デバイスで発見されたサンドボックス迂回の脆弱性と似ていると説明しています。特定の要素を検査する過程が不十分または不在になったとき、攻撃者はサンドボックスの境界から離れたメモリ空間にアクセスできるようになり、今回も攻撃者はその原理を利用したとのことです。
最初の脆弱性はゼロデイで、「Lazarus」と「BlueNoroff」が一番先に発見してエクスプロイトしたようですが、2番目の脆弱性は今年3月に知られ、すぐにパッチされました。
そのため、北のハッカーが先に発見してゼロデイとしてエクスプロイトを行いましたが、それが重複報告されたのか、報告が先にされたことを北朝鮮攻撃者が活用したのかは正確には分からないそうです。
Chromeプロセスから読み込んだり書いたり、脱出までした攻撃者は、新たな脆弱性を通じて攻撃を続ける必要があり、上記2つの脆弱性では「アクセス」まで成功しても、実際の目的を達成するのは難しいということです。
カスペルスキー曰く、「追加で脆弱性が必要です。こういう時、実力のある攻撃者はシェルコードを実行します。それにより、より多くの情報を得ることで次の攻撃を企てます。今回のキャンペーンでは、攻撃者が追加のエクスプロイトに関する情報を保存していませんでした。」
驚異のソーシャルエンジニアリング
Chromeのゼロデイの脆弱性をエクスプロイトしたことよりも、カスペルスキーの研究員をより驚かせたのは、「Lazarus」がソーシャルエンジニアリングに非常に多くの力を注いだという事実です。
「攻撃者は数か月間SNS活動を行いました。『釣り』として活用するゲーム広告をSNSに掲載しましたが、広告のためのコンテンツも常に新しく作られており、ゲームが本当に存在すると信じてしまうほどでした。」
更に、ただ投稿だけを昼夜休まず行ったり、広告を表示させるだけではありませんでした。「暗号資産の分野でそれなりによく知られている人物と接触し、広告費を支払って、広告の掲載を依頼したりもしました。もちろん、(実際には)広告の依頼をするふりをしながら、個人・団体に感染させようとしました。X(旧Twitter)で主に活動しましたが、LinkedInのプレミアムアカウントも活用し、メールでスピアフィッシングも行いました。偽のウェブサイト自体が非常に専門的に制作されたため、これらの戦略が良い効果を得たものと思われます。
「Lazarus」のSNS活動にだまされてゲームサイトにアクセスすると何が起こるのかですが、当然、ゲームをダウンロードするという内容が出てきますが、これをクリックすると400MBの圧縮ファイルのダウンロードが始まります。
「detankzone.zip」というファイルです。開いてみると、本当のゲームが実装されるファイルが存在しました。ゲームのロゴ、ユーザーインターフェース、3Dモデリングなども確認されたとのことです。
ゲームを実行してみると、一番最初は典型的なオンラインゲームのスタートメニュー画面が表示されました。ログインが必要という内容のウィンドウで、アカウントがないユーザーは新規IDとPWにてアカウントの作成が必要という案内もありました。ここまでは普通のオンラインゲームと一緒です。ですが、登録もできず、ログインもされないため、次のステップに進むことができませんでした。そのため、ゲームコードをリバースエンジニアリングしたところ、明らかに400MBのファイルの中には実際のゲームに関連するコンテンツが存在しました。ゲームサーバーのアドレスもハードコーディングされていましたが、そのサーバーは動作しませんでした。そこでカスペルスキーではゲームサーバーを直接開発し、実際にゲームをプレイできたといいます。
「彼らが釣りとして使用したゲームは、実際に存在するゲームでした。もちろん粗悪なゲームで、既存の他のゲームの多くの要素を含んだ一般的な作品でしたが、ある程度楽しくプレイが可能な実際のゲームでした。Lazarusがゲームまで開発できるというのは驚きでもありました。」とカスペルスキーの担当者は驚きを隠しません。
ゲーム
しかし、ゲームの原作者は別にいました。追跡と検索を通じて、カスペルスキーはLazarusが広めている偽のゲームのオリジナルバージョンを見つけることができたと言います。
以下はカスペルスキーの担当者の弁です。
「元のゲームの名前は『DeFiTankLand』でした。Lazarusが開発会社からソースコードを盗み、自分たちの好みに合わせてゲームを修正した後、釣りとして使用したものと私たちは結論を下しています。『DeFiTankLand』は、デファイ(DeFi)という名前が示すように、ブロックチェーンと暗号資産のエコシステムをベースにしています。『DeFiTankLand』の開発会社は『DFTL2』というコインを作って取引したりもしました。」
「2024年3月2日、このDFTL2コインの価格が急落したことがあります。調べてみるとDFTL2の開発会社のコールドウォレットがハッキング攻撃にあったのがその理由でした。当時、開発会社は約2万ドルのDFTL2コインを失ったそうです。興味深いのは、その事件が起こる2週間前の2月20日、攻撃者がXで自分のゲームを宣伝し始めたということです。まだ明確な証拠はありませんが、はこの暗号資産盗難事件もLazarusの犯行であると推定しています。」
「Lazarusがゲームのソースコードを盗み、コインも一緒に盗んだと思います。つまり一石二鳥の効果を収めたのです。コインも得て、マルウェアキャンペーンを繰り広げるための材料も手に入れたのです。」
しかし、開発会社の「DFTL2」側でこの件は内部の犯行であると結論付けてしまいました。具体的な内容は公開されていないままでしたが、カスペルスキーは「Lazarusは最も洗練された技術力を備えたAPTグループのひとつで、今後より活発になる」と警告しています。そして金銭を狙う攻撃を頻繁に行うとし、「すでに過去数年間、暗号資産産業を狙った攻撃を多数成功させており、今後も世界中の金庫を狙うでしょう。それとともに、自らを進化させ発展させるでしょう」と述べています。
現在までに発見されたLazarusの主な特徴の一つは、ゼロデイ脆弱性をエクスプロイトすることであるとカスペルスキーは指摘しており、「どのソフトウェアのどの脆弱性をエクスプロイトするかを予測するのは難しいことですが、ソーシャルエンジニアリング方法を積極的に活用する傾向にあるため、このような側面での教育と訓練を行なえば、ある程度効果を得ることができるでしょう。」とも述べています。
