カスペルスキーのサイバーセキュリティ専門家は、北朝鮮のハッカーグループ「Lazarus」による高度な作戦を発見した。このグループは、暗号通貨コミュニティをターゲットにした偽の分散型ゲームを通じて、Google Chrome のゼロデイ欠陥 (CVE-2024-4947) を悪用しました。
2024 年 5 月 13 日に発見されたこの攻撃は、特に綿密な戦略に基づいていました。 Lazarus は、DeFiTankLand と呼ばれる正規のゲームの不正コピーである「DeTankZone」と呼ばれるゲームを作成しました。犠牲者を引き寄せるために、海賊たちは次のような行為を行ったソーシャル ネットワーク、特に X や LinkedIn 上、およびターゲットを絞った電子メールを介した積極的なプロモーション キャンペーン。
ゲーム ファイルのサイズは 400 MB で、一見すると無害に見えました。しかし、本当の危険は detankzone[.]com サイトに潜んでいました。そこでは、隠しスクリプトが Chrome の JavaScript エンジンである V8 の型混同の脆弱性を悪用していました。
Lazarus が再びオンライン ハッキングの背後にいる
この欠陥を悪用すると、ハッカーは JIT Maglev コンパイラを介してブラウザのメモリを破壊し、Chrome プロセス全体にアクセスできるようになります。したがって、攻撃者は、Cookie、認証トークン、保存されたパスワード、閲覧履歴を回復します。
V8 エンジンの分離を回避するために、Lazarus は 2 番目の脆弱性を利用し、リモートでコードが実行されるようにしました。次に、侵害されたマシンの価値を評価するために認識シェルコードが導入されました。プロセッサ、BIOS、オペレーティング システムに関する情報を収集します。
幸いなことに、Google は 5 月 25 日に Chrome バージョン 125.0.6422.60/.61 で修正を展開することですぐに対応しました。ブラウザを定期的に更新している場合は、パッチを受信しているはずです。それ以外の場合は、ブラウザの最新アップデートを使用していることを確認することをお勧めします。
カスペルスキーは攻撃の後半段階を観察できませんでしたが、グループが仕掛けられたサイトからエクスプロイトを削除したため、次のような兆候があります。最終目標は暗号通貨の盗難でした。よくあることですが、Lazarus Group の攻撃は、ソーシャル エンジニアリングと高度な技術的脆弱性の悪用を組み合わせたものです暗号通貨分野で目標を達成するために。したがって、暗号通貨コミュニティの一員である場合は、常に注意することをお勧めします。
