Googleは、「Google Chrome」の脆弱性を悪用する北朝鮮のハッカー集団2つに対処したとして詳細を説明している。
この脆弱性は、Googleが2月に修正したが、その1カ月前に悪用されていた。Googleはこの時、Chromeの脆弱性「CVE-2022-0609」が悪用されているとの報告を認識しているとしていた。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2月、連邦機関に対し、この脆弱性にパッチを適用するよう命じた。Googleの脅威分析グループ(TAG)によると、このエクスプロイトキットは米国時間1月4日からアクティブに展開されていたことが分かっている。
Googleによると、このエクスプロイトを悪用していた北朝鮮の2つのハッカー集団は、Lazarusとのつながりを持つという。Lazarusは、Sony Picturesに対するサイバー攻撃や、SWIFT(国際銀行間通信協会)への攻撃による大規模な窃取を実行したとされる北朝鮮のハッカー集団だ。
これらのハッカー集団の活動は、ほかのサイバーセキュリティ企業の研究者から「Operation Dream Job」「Operation AppleJeus」と呼ばれている。
TAGのAdam Weidemann氏はブログ記事で、「これらのハッカー集団は、共通のサプライチェーンを持つ同じ組織のために活動しており、同じエクスプロイトキットを利用しているが、それぞれ異なる使命を持って活動しており、異なる手法を展開しているのではないかとわれわれは考えている。北朝鮮政府が支援するほかの攻撃者が同じエクスプロイトキットにアクセスしている可能性もある」と説明した。
「当社の現在の開示ポリシーに沿って、われわれはパッチリリースから30日後にこれらの詳細を提供している」
このハッカー集団は、ニュースメディア、テクノロジー、暗号資産(仮想通貨)とフィンテック業界などの米国を拠点とする組織を標的にしていることをGoogleは確認した。さらに、米国以外の国の組織も標的になった可能性があると同社は指摘している。
Googleによると、Operation Dream Jobと一致するハッカー集団の1つは、ニュースメディア、ドメインレジストラー、ウェブホスティングプロバイダー、およびソフトウェアベンダー分野の10組織で働く250人以上を標的とした。標的には、DisneyやGoogle、Oracleの採用担当者になりすまし、偽の求人情報を案内する電子メールが届いた。電子メールには、米国で技術者の募集によく使用されるIndeedやZipRecruiterといった求人サイトを装った偽サイトへのリンクが含まれていた。
Googleはまた、Operation AppleJeusとして追跡されている北朝鮮の別グループが、同じエクスプロイトキットを使用し、暗号資産とフィンテック業界の85人以上のユーザーをターゲットにしていたとしている。
深刻な脅威アクターを撲滅する取り組みの一環として、Googleは研究結果を利用し、製品の安全性とセキュリティを改善している。ユーザーがさらなる被害に遭わないよう保護するため、問題が発見されれば、特定されたウェブサイトやドメインは「Googleセーフブラウジング」に追加される。また、対象となる「Gmail」と「Workspace」ユーザーに、「政府が支援する攻撃のアラート」を送り、そのようなアクティビティについて通知する。
Googleが54億ドル(約6600億円)で買収すると発表したMandiantも先週、北朝鮮のハッキングに関するレポートを新たに公開している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。