北朝鮮のサイバー諜報グループは2018年、「Internet Explorer」のスクリプトエンジンを執拗に攻撃している。このグループは2つのゼロデイ攻撃を実施したほか、古い脆弱性を利用した新たな攻撃手段も2つ生み出した。
このグループの名前はDarkHotelだ。McAfeeを始めとする多くのサイバーセキュリティ企業が、このグループを北朝鮮政府と結びつけている。
このグループは2007年から活動しているが、Kaspersky Labが2014年に詳細なレポートを発表し、数百のホテルの構内Wi-Fiネットワークに侵入して、社会的地位の高い宿泊客をマルウェアに感染させる手口を使った、複雑なハッキング活動を明らかにしたことで広く知られるようになった。
公開されたレポートで名指しされたにも関わらず、DarkHotelは攻撃を止めず、多くの被害者を標的にし続け、最近では2016年と2017年にも同じ手法で政治家をターゲットとした攻撃を行っている。
同グループは、ほかにも攻撃を実行している。研究のために外国の研究者に送られた北朝鮮のアンチウイルスソフトウェアの中に、マルウェアを隠していたこともあった。この攻撃は、サイバーセキュリティ業界で「APT-C-06」「Dubnium」「Fallout Team」「Karba」「Luder」「Nemim」「SIG25」「Tapaoux」などの多くの名前で呼ばれている。
Internet Explorerを執拗に狙うDarkhotel
2018年の同グループは非常に活発に活動しており、同じ技術を繰り返しターゲットにしている。標的はInternet ExplorerのVBScriptスクリプトエンジンだ。
研究者らによれば、DarkHotelは4月にIEのゼロデイ脆弱性(CVE-2018-8174)を発見して悪用しており、8月にも別のゼロデイ脆弱性(CVE-2018-8373)を悪用しているという。Microsoftはこれらの脆弱性を5月と9月にそれぞれ修正している。
さらにQihoo 360 Coreは、米国時間11月12日に発表した新しいレポートで、同グループはIEのスクリプトエンジンに存在する2つの古い脆弱性(CVE-2017-11869およびCVE-2016-0189)を悪用した新たな攻撃コードを作成したと述べている。
「分析によって、これら4つ(の攻撃コード)の難読化手法と脆弱性の悪用手法は極めて似通っていることが明らかになった」とQihoo 360の研究者は述べている。「われわれは、これらは同じハッカー(またはハッキンググループ)が作成したものではないかと考えている」