さまざまな脆弱(ぜいじゃく)性やエクスプロイトについて研究するMicrosoftセキュリティレスポンスセンターが、北朝鮮のサイバー攻撃集団「Citrine Sleet(UNC4736)」がブラウザエンジンであるChromiumの脆弱性「CVE-2024-7971」を悪用してリモートコード実行のゼロデイエクスプロイトを行ったと報告しています。Citrine Sleetは仮想通貨を盗む目的で金融機関などの組織を標的にしていたとみられています。

North Korean threat actor Citrine Sleet exploiting Chromium zero-day | Microsoft Security Blog

https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day/



North Korean hackers exploited Chrome zero-day to steal crypto | TechCrunch

https://techcrunch.com/2024/08/30/north-korean-hackers-exploited-chrome-zero-day-to-steal-crypto/



North Korean hackers exploit Chrome zero-day to deploy rootkit

https://www.bleepingcomputer.com/news/security/north-korean-hackers-exploit-chrome-zero-day-to-deploy-rootkit/

CVE-2024-7971は、Chromiumベースのブラウザで採用されているJavaScriptエンジンのV8に存在した型の取り違えによるゼロデイ脆弱性で、攻撃者が意図的にブラウザのクラッシュを引き起こしたり、デバイス上で任意のコードを実行したりするエクスプロイトが可能になります。

このCVE-2024-7971は2024年8月21日に行われたChromeのセキュリティアップデート(バージョン128.0.6613.84)で修正されました。しかし、Microsoftセキュリティレスポンスセンターによると、CVE-2024-7971が脆弱性として修正される前の2024年8月19日には、すでにCVE-2024-7971を利用した攻撃が行われた痕跡を確認したとのこと。

Microsoftセキュリティレスポンスセンターは、「攻撃者はCitrine Sleetであると、中程度の確信を持って結論付けています」と報告しています。Citrine Sleetは北朝鮮の偵察総局第121局と関連のあるサイバー攻撃集団で、仮想通貨を管理する金融機関や個人を狙い、仮想通貨取引プラットフォームを装った偽のサイトや偽の仮想通貨取引アプリに誘導してだまし、その資産を盗んでいるそうです。



by Roman Harak

今回の攻撃では、Citrine Sleetは偽のページにターゲットを誘導。この偽のページにアクセスすると、ターゲットのデバイスはCVE-2024-7971エクスプロイトによって、「FudModule」と呼ばれるルートキットを実行させられます。このルートキットはさまざまなセキュリティソフトによる検出を回避できるようにカーネルを改ざんする機能を持っており、ターゲットに知られないようにデバイス内のデータを外部サーバーにアップロードすることを可能にします。

Microsoftセキュリティレスポンスセンターは、「標的となり、セキュリティが侵害された顧客」には通知済みであるとしていますが、標的となったのが誰なのか、Citrine Sleetの攻撃による被害規模はどれくらいなのかについては詳細を明らかにしていません。また、Googleの広報担当者はIT系ニュースサイトのTechCrunchに対し、CVE-2024-7971が修正されたこと以外はコメントできないと述べました。

なお、セキュリティ情報に詳しいニュースサイトのBleepingComputerによれば、今回のCitrine Sleetの攻撃で標的になった組織の1つは、以前にも別の北朝鮮関連のサイバー攻撃集団「BlueNoroff」にも標的にされたそうです。