Microsoftは8月30日(米国時間)、「North Korean threat actor Citrine Sleet exploiting Chromium zero-day|Microsoft Security Blog」において、Google Chromeの脆弱性が北朝鮮のサイバー攻撃者に悪用されたと伝えた。悪用された脆弱性は「CVE-2024-7971」で、8月21日(米国時間)にリリースされたChrome 128にて修正されている(参考:「Google Chromeに38件の脆弱性、128にアップデートを | TECH+(テックプラス)」)。

  • North Korean threat actor Citrine Sleet exploiting Chromium zero-day|Microsoft Security Blog

    North Korean threat actor Citrine Sleet exploiting Chromium zero-day|Microsoft Security Blog

サイバー攻撃の概要

攻撃を実施した脅威アクターは北朝鮮偵察総局第121局に属する「Citrine Sleet」とみられる。この脅威アクターは他のセキュリティベンダーから「AppleJeus」、「Labyrinth Chollima」、「UNC4736」、「Hidden Cobra」として追跡されている。Citrine Sleetの目的は経済的利益であり、金融機関、特に暗号資産を所有する組織および個人を標的にする。

今回Microsoftにより確認されたサイバー攻撃では、被害者を悪意のあるWebサイト「voyagorclub[.]space」に誘導し、Chromeの脆弱性「CVE-2024-7971」を使用して悪意のあるシェルコードを実行する。シェルコードにはWindowsの脆弱性「CVE-2024-38106」を悪用するエクスプロイトと、FudModuleルートキットが含まれている。

悪用されたWindowsの脆弱性「CVE-2024-38106」は、8月13日(米国時間)に公開されたセキュリティ更新プログラムにより修正されている(参考:「Microsoft、8月の累積更新プログラム配信開始 - 90件の脆弱性修正 | TECH+(テックプラス)」)。

FudModuleルートキットの概要

最終的に配布されるFudModuleルートキットは、検出を回避しながらカーネルオブジェクトの直接操作(DKOM: Direct Kernel Object Manipulation)を実行する。Windowsの脆弱性「CVE-2024-38193」を悪用して特権を取得する機能を含むことが確認されており、一般ユーザーの権限で侵害可能とされる。

マルウェアとしては遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の機能が確認されている。コマンド&コントロール(C2: Command and Control)サーバとAES暗号を使用した通信路を確立し、ファイルのアップロード、ダウンロード、プロセスの作成など強力なコマンドを攻撃者に提供する。

影響と対策

Microsoftはこの攻撃を8月19日(米国時間)に確認。これは、Chrome 128のリリース2日前に当たるため、ゼロデイの脆弱性を狙った攻撃と評価されている。

攻撃に悪用されたGoogle ChromeおよびWindowsの脆弱性はすでに修正されている。対象製品を利用しているユーザーは、最新バージョンにアップデートすることが推奨されている。