IEのゼロデイ脆弱性、北朝鮮の脅威アクターが悪用

Googleの脅威分析グループは北朝鮮のAPTグループによるInternet Explorerのゼロデイ脆弱性の悪用を確認した。

» 2022年12月10日 07時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Googleは2022年12月7日(現地時間)、同社のブログで「Internet Explorer」(以下、IE)にゼロデイ脆弱(ぜいじゃく)性が存在すると伝えた。Googleの脅威分析グループが2022年10月下旬に発見した脆弱性で、CVE-2022-41128として特定されている。

 北朝鮮が支援する「APT」(持続的標的型攻撃)グループのうち、「APT37」などと呼ばれるグループが今回見つかったゼロデイ脆弱性をすでに悪用している。APT37は韓国のユーザーや脱北者、政策立案者、ジャーナリスト、人権活動家などを標的にサイバー攻撃を実行している。

GoogleはIEにゼロデイ脆弱性を発見した(出典:Googleのブログ)

IEの脆弱性を悪用する攻撃手順とは?

 CVE-2022-41128は、IEのJavaScriptエンジン「jscript9.dll」に存在する。これを利用すると、細工したHTMLコンテンツを用意することによってIEで任意のコードを実行できるようになる。具体的な攻撃手順は以下の通りだ。

  1. フィッシング詐欺メールのような何らかの方法で標的とするユーザーに「Microsoft Office」ドキュメントを配布する
  2. 配布したMicrosoft Officeドキュメントはリッチテキストファイル(RTF)リモートテンプレートをダウンロードする。さらにそのテンプレートがリモートのHTMLコンテンツを取得する
  3. Microsoft Officeは取得したHTMLコンテンツをIEでレンダリングする。ここで脆弱性が悪用される

 Googleの脅威分析グループは、CVE-2022-41128を悪用した脅威アクターによる攻撃の最終的なペイロード(不正コード)を回収できなかったとしている。しかし同グループは以前から「ROKRAT」「BLUELIGHT」「DOLPHIN」などのマルウェアインプラントを配信していたことから、今回の攻撃も同様の手口を取るものとみられる。

 CVE-2022-41128については、Microsoftの2022年11月のセキュリティ更新プログラムでパッチがリリースされている。同脆弱性は今後も悪用される可能性があるためIEユーザーは迅速にパッチを適用してほしい。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR