ラザルス(Lazaru)、偽のDeFiゲームを使ってGoogle Chromeのゼロデイを悪用

ラザルスがGoogle Chromeのゼロデイを悪用

北朝鮮のサイバー軍としても広く知られるラザルス(Lazarus)ハッカーグループは、仮想通貨業界の個人を狙った偽DeFi(分散型金融)ゲームを通じて、CVE-2024-4947として追跡されているGoogle Chromeのゼロデイを悪用している事がわかった。

北朝鮮のラザルス ハッカー集団は、偽ブロックチェーンベースのゲームを使用して、Google Chromeブラウザーのゼロデイ脆弱性を悪用し、ウォレットの認証情報を盗むスパイウェアをインストール。セキュリティソフト提供を手掛けるKaspersky(カスペルスキー)は、2024年5月13日にこの攻撃を発見し、Chromeのゼロデイ脆弱性をGoogleに報告。Googleは5月25日、Chromeバージョン125.0.6422.60/.61でCVE-2024-4947の修正プログラムをリリースしている。

Kasperskyは、ロシアの顧客所有のパソコンで「Manuscrypt」バックドアマルウェアの新しい亜種を検出した後、2024年2月に始まったこのキャンペーンを発見。ラザルスは長年 Manuscrypt を使ってきたが、研究者らは、この脅威アクターがランダムな個人をターゲットにしているように見えたという。新しいManuscryptペイロードが検出される前にGoogle Chromeが悪用され、その悪用は「detankzone[.]com」というサイトから実行されていたことが判明。このサイトは、DeTankZoneまたは DeTankWarという戦車をテーマにしたNFT(非代替性トークン)ベースのマルチプレイヤーオンラインバトルアリーナ(MOBA)ゲームを宣伝。Kasperskyの主席セキュリティ専門家、ボリス・ラリン(Boris Larin)氏は次のように述べている。

このキャンペーンに多大な労力が費やされていることから、野心的な計画があったことがうかがえる。実際の影響ははるかに広範囲に及ぶ可能性があり、世界中のユーザーや企業に影響を及ぼす可能性がある。


正規のゲームから盗まれたソースコードを利用した偽DeFiゲーム

ラザルスは、XなどのSNSでの広告キャンペーン、スピアフィッシングメール、高価値ターゲットへの直接攻撃に使用されるプレミアムLinkedInアカウントを通じて、このゲームを大々的に宣伝していた。

Kasperskyがゲームをダウンロードしてリザーブエンジニアリングを実施たところ、このゲームが、ラザルスが自分たちの目的のために単にブランド名を変更した、DeFiTankLandという正規のゲームから盗まれたソースコードに基づいていたことを発見。400MBのZIPダウンロードは起動するものの、ゲームのバックエンドインフラストラクチャーがシャットダウンされており、ログイン/登録画面以降は機能しないという。悪意のあるキャンペーンのターゲットとなった人々とその過去の履歴に基づくと、攻撃の最終的な目的は暗号通貨を盗むことだった可能性が高い。なお、ユーザーはゲームをダウンロードしていなくても、サイトから感染している。