北朝鮮のハッカー集団「ラザルス」がWindowsのゼロデイ脆弱性を悪用(CVE-2024-38193)
2024年8月16日 サイバーセキュリティ企業の「Gen Digital」北朝鮮のハッカー集団「ラザルス(Lazarus)」がWindowsのゼロデイ脆弱性を悪用(CVE-2024-38193)している事を指摘しました。
目次
脆弱性 CVE-2024-38193について
WinSock の Windows 補助機能ドライバーの権限昇格の脆弱性になります。
脆弱性を突いて攻撃されると、攻撃者はSYSTEM権限を掌握できるようになります。
この脆弱性は2024年8月のWindows月例パッチで修正済みです。
北朝鮮のハッカー集団「ラザルス」が脆弱性(CVE-2024-38193)を悪用
2024年6 月初旬、Luigino Camastra 氏と Milanek 氏は、「ラザルス(Lazarus)」が Windows の重要な部分である AFD.sys ドライバーに潜むセキュリティ上の欠陥を悪用していることを発見しました。
この欠陥により、Lazarus グループは機密性の高いシステム領域に不正アクセスできるようになりました。この攻撃はBYOVD攻撃と呼ばれます。
また、セキュリティ ソフトウェアから自分たちの侵害活動を隠すために、Fudmodule と呼ばれる特殊なマルウェアを使用していることも判明しました。
BYOVD攻撃(Bring Your Own Vulnerable Driver)とは
Bring Your Own Vulnerable Driver(BYOVD)攻撃とは、攻撃者が脆弱性のあるドライバーをターゲットとなる端末へインストールし、その脆弱性を悪用してカーネルレベルの特権を獲得する攻撃のことです。
攻撃者はしばしば、カーネルとやり取りするために高い特権を必要とするサードパーティ製のドライバー(アンチウイルスやハードウェアドライバーなど)を悪用します。
この脆弱性が特に危険である理由は、AFD.sysというドライバーに脆弱性が存在していたことです。
AFD.sysはすべてのWindowsデバイスにデフォルトでインストールされているため、攻撃者はWindowsによってブロックされたり、簡単に検出されたりする可能性のある古い脆弱なドライバーをインストールする必要がありませんでした。
引用
Safeguarding Digital Freedom: How a Gen Discovery Helped to Protect Windows Users Everywhere
外貨獲得のためにサイバー攻撃を実行する北朝鮮
国連の委員会は2024年3月7日のレポートで、北朝鮮が約58件のサイバー攻撃で6年間に30億ドル 日本円で4500億円を窃取し、さらに外貨収入の約50%をサイバー攻撃によって獲得していると公表しています。
日本で活動する北朝鮮労働者
2024年3月26日 警察庁は北朝鮮のIT労働者が日本人になりすまして国内で業務を不正受注している疑いがあるとして、注意喚起を行いました。
フリーランスの技術者などが企業から仕事を受注するためのオンラインのプラットフォームに、中国などを拠点とする北朝鮮のIT労働者が身分を偽って登録し、日本企業の仕事を受注して収入を得ていると見られるケースが相次いでいるということです。
加えて、北朝鮮IT労働者が悪意のあるサイバー活動について関与の可能性もあると指摘しています。
また、2024年4月22日 米国の北朝鮮シンクタンク「38north」が北朝鮮が米国と日本のアニメ制作に関与している事を発表しました。これには2024年7月にアニメが放映予定の「導具師ダリヤはうつむかない」や、Amazonオリジナルのアニメシリーズ「インビンシブル ~無敵のヒーロー~」のシーズン3などに関与しているとされています。
関連記事