グーグルは月曜日、北朝鮮のハッカーらが特定の情報セキュリティ研究者を狙い、疑わしいウェブサイトに誘導した後、バックドアで彼らのシステムに感染させたことを明らかにした。
インターネット大手の脅威分析グループによると、平壌のスパイは、主にソフトウェアのセキュリティ上の脆弱性を調査している人々に、ツイッター、リンクトイン、テレグラム、ディスコード、キーベース、あるいは普通の電子メールを介してプライベートメッセージを送り、悪用可能なバグの詳細を約束するブログに標的を誘い込もうとする。
しかし、そのウェブサイトにアクセスした後、研究者たちはマルウェアがPCに注入され、バックグラウンドで密かに実行されていることを発見しました。このウェブサイトは、被害者のブラウザやシステムに存在する1つ以上のゼロデイ脆弱性を悪用して攻撃を実行したと推測されていますが、具体的な手法は現時点では完全には解明されていません。Googleがこの活動をどのように把握したのかも明らかではありませんが、推測することは可能です。
「研究者らはTwitter上のリンクを辿ってblog.br0vvnn[.]ioに掲載されている記事を調べたところ、その直後に研究者のシステムに悪意のあるサービスがインストールされ、メモリ内のバックドアが攻撃者が所有するコマンド&コントロールサーバーへのビーコン送信を開始した」とGoogleのアダム・ワイデマン氏は述べた。
訪問時、被害システムは完全にパッチが適用され、最新のWindows 10とChromeブラウザを使用していました。現時点では侵入のメカニズムを確認することはできませんが、他の方から情報があれば歓迎いたします。
家にこもって時間を持て余しているあなたへ、米国政府はノルウェーのハッキング業者に500万ドルを支払っていることをお知らせします。
続きを読む
研究者には、エクスプロイトコードが含まれているとされるVisual Studioプロジェクトも提供される予定でした。これらのファイルには、Visual Studioビルドイベントを介して実行されるDLLが含まれており、リモートサーバーに接続して実行命令を取得し、首謀者から実行命令を取得します。
これは長期にわたる詐欺でした。数ヶ月にわたり、金正恩のスパイたちは、セキュリティの脆弱性を扱った、一見もっともらしいブログと複数のソーシャルメディアアカウントを立ち上げ、さらには、正当なセキュリティ研究者を知らず知らずのうちにサイトにゲスト投稿させていました。
しかし、完璧な作戦ではなかった。1月14日、攻撃者はWindows Defenderの脆弱性CVE-2021-1647を悪用する様子をYouTubeに投稿したが、明らかに偽装されたものだった。攻撃チームは、この動画について批判を受けた際、別のソーシャルメディアアカウントを使って擁護した。
Google は、この攻撃は北朝鮮によるものとしており、チョコレート ファクトリーは、上記のリンク先のレポートで、この攻撃に関連する怪しいオンライン アカウントとプロファイル、ドメイン、ファイル パスの完全なリストを公開しています。ログや受信トレイを調べて疑わしいアクティビティの兆候を探したい場合は、このリストを確認してください。
誰が背後にいたにせよ、彼らは標的のプライベートな研究から新たな価値ある脆弱性やその他の情報を収集しようとしていたと推測されます。今や、北朝鮮のハッカーたちが被害者のPCに侵入した方法を解明できれば、そのエクスプロイトでかなりの利益を得られるでしょう。できればGoogleのバグ報奨金制度を通じて脆弱性を修正してもらうのが望ましいでしょう。
「自分が標的にされているのではないかと心配な場合は、一般的なウェブ閲覧、研究コミュニティ内の他のユーザーとのやり取り、第三者からのファイルの受け取り、独自のセキュリティ研究など、それぞれに別々の物理マシンまたは仮想マシンを使用して研究活動を区分することをお勧めします」とワイデマン氏は結論付けました。®
