- GoogleのThreat Analysis Group(TAG)は、北朝鮮政府の支援を受けた攻撃者がセキュリティ研究者を標的にした継続的なキャンペーンを報告した。
- このキャンペーンは2021年1月に初めて公開され、脆弱性の研究と開発に従事する研究者を標的に、0-day脆弱性を悪用している。
- TAGはこのようなキャンペーンを2年以上追跡して妨害し、0-dayを発見してオンラインユーザーを保護している。
- 最近では、TAGは過去のキャンペーンとの類似性に基づき、同じ攻撃者による新たなキャンペーンを特定した。
- 少なくとも1件の有効な0-dayが、ここ数週間にわたりセキュリティ研究者を標的に使われていた。この脆弱性は影響を受けるベンダーに報告されており、現在パッチが進められている。
- 北朝鮮の脅威アクターは、標的との関係を築くためにソーシャルメディアサイトを利用し、しばしば長い会話を交わし、共通の関心事について協力しようと試みる。
- 標的の研究者との関係を確立した後、脅威アクターは人気のあるソフトウェアパッケージに少なくとも1件の0-dayが含まれた悪意あるファイルを送信する。
- 悪用が成功すると、シェルコードは仮想マシンチェックを実行し、収集した情報とスクリーンショットを攻撃者が制御するコマンド&コントロールドメインへ送信する。
- 0-day脆弱性を悪用して研究者を標的にすることに加え、脅威アクターはシンボル情報のダウンロードに役立つツールのように見えるスタンドアロンのWindowsツールも開発していたが、これには攻撃者が制御するドメインから任意のコードをダウンロードして実行する機能もある。
- TAGは、このツールをダウンロードまたは実行した場合、システムが既知のクリーンな状態にあることを確認するための予防措置を講じるよう推奨しており、そのためにはオペレーティングシステムの再インストールが必要になるだろう。
- TAGは、研究結果をGoogle製品の安全性とセキュリティの向上に活用し、特定されたすべてのWebサイトとドメインをSafe Browsingに追加することで、ユーザーがこれ以上悪用されるのを防いでいる。
- TAGは、GmailとWorkspaceのユーザーに政府支援の攻撃者に関する警告を送信するとともに、潜在的な標的に対してChromeのEnhanced Safe Browsingを有効にし、すべてのデバイスを更新するよう推奨している。
- TAGは、認識向上と戦略・技術への理解の改善のために、セキュリティコミュニティと研究成果を共有することに尽力しており、これは業界全体でのユーザー保護の強化に寄与している。
1件のコメント
Hacker Newsのコメント
getsymbolには214のスターが付いているが、警告バナーは表示されていない。Githubに対し、このような既知のバックドアを含む他のソフトウェアにも警告を追加するよう提案している。ffmpeg windows binariesのような人気ダウンロードサイトの正当性や、国家主体が非公式にホストされたダウンロードを利用している可能性について懸念が示された。dbgsymbol.comは Brave ブラウザの Safe Browsing で警告付き表示になっていないにもかかわらず、確認済みのすべてのWebサイトとドメインは Safe Browsing に追加されるという主張がある。