APT攻撃グループ「Lazarus」が、Google Chromeのゼロデイ脆弱性を悪用し暗号資産を窃取していたことを発見
[本リリースは、2024年10月23日にKasperskyが発表したプレスリリースに基づき作成したものです]
--【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※1はこのたび、APT(持続的標的型)攻撃グループLazarus(ラザルス)が、世界中の暗号資産(仮想通貨)の保有者を標的とした、悪意のある高度な攻撃活動を展開していることを発見しました※2。攻撃者は、Google Chromeのゼロデイ脆弱(ぜいじゃく)性を悪用した偽の暗号資産ゲームのウェブサイトを使用してバックドアをインストールし、ウォレットの認証情報を窃取していました。攻撃活動では生成AIやソーシャルエンジニアリングが活用されており、GReATのリサーチャーは、Lazarusが今後さらに精巧な攻撃を展開すると予測しています。
--------------
2024年5月、GReATのリサーチャーがKaspersky Security Networkテレメトリ内のインシデントを分析中に、マルウェア「Manuscrypt」に感染したPCがあることを発見しました。Lazarusはこの特徴的なフル機能を持つバックドアを2013年から使用しており、GReATはこれまでに、Manuscryptを使用した多様な業種を狙った50以上の攻撃活動を発見、分析しています。今回、調査をさらに進めたところ、生成AIやソーシャルエンジニアリングのテクニックを使い、暗号資産の保有者を標的とした悪意のある高度な攻撃活動が明らかになりました。
Lazarusは暗号資産プラットフォームに対して非常に高度な攻撃を行うことで知られ、これまでにもゼロデイエクスプロイトを使った攻撃を行っています。GReATのリサーチャーは、今回発見した攻撃活動も同じパターンを踏襲しており、攻撃者が二つの脆弱性を悪用していたことを突き止めました。一つは、これまで知られていなかった、JavaScriptおよびWebAssemblyの実行プログラムであるGoogleの「V8」における「型の取り違え(Type Confusion)」のバグです。このゼロデイ脆弱性は、攻撃者が任意のコードを実行してセキュリティ機能を回避し、さまざまな悪意のある活動を行うことができるもので、当社がGoogleに報告した後、今年5月に「CVE-2024-4947」として修正されました。もう一つの脆弱性は、Google Chromeの「V8サンドボックス」による保護を回避するために利用された、インタプリタに由来するものです。
攻撃者は、正規のウェブオンラインゲーム「DeFiTankLand(DFTL)」を緻密に模倣した偽のゲームのベータ版を用意し、NFT(非代替性トークン)の戦車で世界中のプレーヤーと競えるとしてユーザーを誘いダウンロードを促していました。この偽のゲームのウェブサイトは、上述のGoogle Chromeの脆弱性を悪用した、訪問者のPCを完全に制御する隠しスクリプトが仕込まれており、サイトを訪れるだけで感染する可能性がありました。
攻撃者は攻撃活動の効果を最大化できるようにプロモーションを実施し、可能な限り偽のゲームが本物らしく見えるように注力していました。X(旧Twitter)とLinkedInのソーシャルメディア用アカウントを作成し、今年2月よりAIで生成した画像を使って数カ月にわたってゲームを宣伝していました。GReATのリサーチャーは、Lazarusが生成AIを攻撃手法にうまく取り入れていることから、この技術を使用してさらに高度な攻撃を考案すると予測しています。
また、攻撃者はさらに宣伝を行うために、暗号資産のインフルエンサーに接触を試み、ソーシャルメディアでの影響力を利用して脅威を拡散しようとするだけではなく、インフルエンサーたちの暗号資産アカウントも直接狙っていました。
攻撃者がゲームの宣伝活動を始めて間もなく、正規のゲーム「DeFiTankLand」の開発者は、コールドウォレットがハッキングされ2万ドル相当のコインが盗まれたと公表しました。これはLazarusによる犯行とリサーチャーはみています。
KasperskyのGReATでプリンシパルセキュリティエキスパートを務めるボリス・ラリン(Boris Larin)は、次のように述べています。「APT攻撃グループの攻撃者たちが金銭的利益を追求する様子はこれまでも見てきましたが、今回は独特でした。標的のシステムを感染させるために、Google Chromeのゼロデイ脆弱性を悪用するだけでなく、完全に機能するゲームをカモフラージュとして使用するという通常の戦術を超えた手法をとっています。Lazarusのような悪名高い攻撃者が関わっていれば、ソーシャルネットワークやメール内のリンクをクリックするといった一見無害な行為でも、個人のPCや企業ネットワーク全体の侵害につながる可能性があります。この攻撃活動に注がれた多大な労力は、攻撃者が野心的な計画を持っていたことを示唆しており、実際の影響ははるかに広範で、世界中のユーザーと企業に影響を及ぼす可能性があります」
■ 詳細は、Securelistブログ(英語)「The Crypto Game of Lazarus APT: Investors vs. 0-days」でご覧いただけます。
※1 グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
※2 この調査結果は、Kasperskyが開催するサイバーセキュリティの年次カンファレンス「Security Analyst Summit 2024」(開催期間:2024年10月22日~25日、開催地:インドネシア・バリ島)で発表されました。
■ Kaspersky について
Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティ
- ダウンロード