Googleは9月7日(米国時間)、「Active North Korean campaign targeting security researchers」において、朝鮮民主主義人民共和国(北朝鮮)のサイバー攻撃者の標的となっているセキュリティ研究者に関する情報を報じた。

Active North Korean campaign targeting security researchers

Googleの脅威分析グループは2021年1月(米国時間)、ゼロデイ攻撃を使用した脆弱性の研究開発に取り組むセキュリティ研究者を標的とした、北朝鮮政府支援の攻撃者によるキャンペーンについて発表した。脅威分析グループはその後2年半にわたりこの攻撃者によるキャンペーンを追跡、妨害してユーザーを保護してきたという。

最近になって、脅威分析グループは同じ攻撃者が実行しているとみられる新しいキャンペーンを発見。このキャンペーンにおいて、攻撃者は少なくとも1つのゼロデイを悪用したとみられる。脅威分析グループはこのキャンペーンを分析中としつつ、セキュリティ研究コミュニティへの警告のため初期の調査結果を早期に発表するとともに、セキュリティ研究者に注意を呼びかけている。

脅威分析グループによると、北朝鮮の攻撃者はX(旧Twitter)などのソーシャルネットワーキングサービス(SNS: Social networking service)を通じてセキュリティ研究者との関係構築を行うという。数カ月かけてセキュリティ研究者との関係を構築すると、脅威アクタは一般的なソフトウェアに少なくとも1つのゼロデイを含む悪意あるファイルを送り攻撃を開始する。

このソフトウェアに含まれるマルウェアによりセキュリティ研究者の情報は収集され、スクリーンショットと共にコマンド&コントロール(C2: Command and Control)サーバに送信される。このマルウェアで使用されるシェルコードは、過去の北朝鮮の攻撃で観察されたシェルコードと同様の方法で構築されているという。

この攻撃者は直接セキュリティ研究者を標的にするだけではなく、Windows用の開発ツール「GetSymbol」を作成して不特定多数のセキュリティ研究者を標的とした可能性も指摘されている。このツールは攻撃者が管理するサーバから任意のコードをダウンロードして実行する機能があるとされる。

脅威分析グループは安全のため、このツールをダウンロードまたは実行した場合は、オペレーティングシステムの再インストールなどの予防処置を取ることを推奨している。なお、現在このツールはGithub上から削除されている。

GithubのGetSymbolリポジトリ 引用:Google

Google脅威分析グループは脅威への取り組みの一環として、発見した脅威のあるWebサイトとドメインを、Chromeのセーフブラウジングなどに追加してユーザーの保護を行っている。また、標的となったすべてのGmailとWorkspaceユーザーに対して、活動を通知する「政府に支援された攻撃アラート」を送信する取り組みも行っている。

脅威分析グループはこれら脅威からの保護を機能させるために、Chromeのセーフブラウジングを有効にし、すべてのデバイスが最新にアップデートされていることを確認するよう促している。