米GoogleでAdvanced Persistent Threat(APT)型攻撃などを監視するチーム、Threat Analysis Group(TAG)は9月7日(現地時間)、北朝鮮政府支援の攻撃者がセキュリティ研究者を標的とするゼロデイ攻撃を行っていると報告した。
2021年1月にTAGが報告した攻撃と類似点が多く、同じ攻撃者による可能性が高いと説明した。
標的となっている研究者らは、脆弱性の研究開発に携わっているという。
Googleは悪用されたゼロデイ脆弱性の詳細や悪用されたソフトウェアの名称をまだ明らかにしていない。影響を受けた研究者やソフトウェアベンダーには報告しており、現在パッチの適用中という。
攻撃者は、X(旧Twitter)やMastodonなどのSNSで標的の研究者にアプローチし、関係を確立するとSignalやWhatsAppなどのE2EEのプラットフォームに切り替え、悪意あるファイルを相手に送る。
標的のシステムに展開されたシェルコードペイロードは、収集したデータを攻撃者のサーバに送信する。また、Microsoft、Google、Mozilla、Citrixのデバッグデータが保持されている「シンボルファイル」をダウンロードするツールを悪用することで、標的のシステムから任意のコードをダウンロードするという。
TAGは、これらの調査結果に基づいてGoogle製品の安全性とセキュリティを向上させる。具体的には、識別されたすべてのWebサイトをドメインを「セーフブラウジング」に追加する。また、標的となったすべてのGmailおよびWorkspaceユーザーに、「政府が支援する攻撃のアラート」を送信した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR