マイクロソフト、北朝鮮のハッカーが Chromiumで仮想通貨ユーザーを狙っていると警告

マイクロソフト、北朝鮮のハッカーが仮想通貨ユーザーを狙っていると警告

技術大手マイクロソフト（Microsoft）は、北朝鮮の脅威行為者がグーグルのChromiumのゼロデイ脆弱性を悪用してリモートコード実行をし、ユーザーから仮想通貨を盗んでいることについて警告したことが明らかになった。

Microsoft identified a North Korean threat actor exploiting a zero-day vulnerability in Chromium (CVE-2024-7971) to gain remote code execution. Our assessment of ongoing analysis and observed infrastructure attributes this activity to Citrine Sleet. https://t.co/ITqOQpWn2v

— Microsoft Threat Intelligence (@MsftSecIntel) August 30, 2024

同社のサイバーセキュリティ研究者は、Chromeウェブブラウザーなどを動かすエンジンであるChromiumのゼロデイ脆弱性を特定し、彼らがCitrine Sleetと呼ぶ北朝鮮のハッカーグループに悪用されていたことを明らかにした。同社はCitrine Sleetを中程度の信頼性で特定しており、このグループは仮想通貨セクターをターゲットにしていることで知られている。ハッカーのLazarus（ラザルス）グループにも使用されているトロイの木馬マルウェアである、AppleJeusの開発者でもある。

標的となり被害を受けた顧客に通知したが、影響を受けた顧客数については明らかにしておらず、Chromiumにパッチが適用されたこの種の脆弱性は、今年3件目である。

マイクロソフトはターゲットの資産を掌握するために必要な情報を収集

マイクロソフトは 公式ブログ で、Citrine Sleetはソーシャルエンジニアリングの手口を利用してユーザーを騙し、悪意のあるソフトウェアをダウンロードさせることが多いと述べており、ターゲットのデジタル資産を掌握するために必要な情報を収集している事を明らかにした。

Citrine Sleetが最初に発見されたのは2022年12月で、マイクロソフトはこれをDEV-0139と命名。当時、それは仮想通貨取引所OKXの従業員を装ってTelegram上で偽IDを作成。ターゲットは、さまざまな取引所の手数料体系に関する正確な情報が記載されたExcel文書と、ターゲットのコンピュータにバックドアを作成する悪意のあるファイルを評価するよう求められたとのこと。

ハッカーたちは、FudModuleルートキットマルウェアを使ってリモートコードを実行しており、そのため、彼らは洗練されたソーシャルエンジニアリングの手口を使ったとみられている。さらにハッカーは、合法的な仮想通貨取引プラットフォームを装った偽サイトを作成。このようなサイトは、偽の求人アプリケーションの配布や、合法的なアプリケーションをベースとした兵器化された仮想通貨ウォレットや取引アプリケーションをダウンロードするようターゲットを誘い出すために使用しているとのこと。

マイクロソフトは8月19日、脅威行為者によって展開されたDiamond Sleetに起因する悪意のあるルートキットを観察した後、Citrine SleetをChromiumのゼロデイ脆弱性ハッキングに結びつけた。同ブログによると、グーグルは8月21日にこの脆弱性にパッチを適用し、ユーザーに対してできるだけ早く修正プログラムを適用するよう促しているとのこと。