北朝鮮ハッカーがChromeのゼロデイ悪用し、ルートキットFudModuleを展開(CVE-2024-7971) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮ハッカーがChromeのゼロデイ悪用し、ルートキットFudModuleを展開(CVE-2024-7971)

Threat Report

Chrome

Citrine Sleet

FudModule

北朝鮮ハッカーがChromeのゼロデイ悪用し、ルートキットFudModuleを展開(CVE-2024-7971)

Yoshida

Yoshida

2024.09.02

北朝鮮ハッカーがChromeのゼロデイ悪用し、ルートキットFudModuleを展開(CVE-2024-7971)

The Hacker News – Aug 31, 2024

JavaScriptエンジン「V8」やWebAssemblyのエンジンに存在する脆弱性CVE-2024-7971が、ルートキット「FudModule」の配布を目的とするキャンペーンでゼロデイとして悪用されていた。先月19日にこの活動を特定したマイクロソフトが中程度の確度で評価したところによると、同キャンペーンの実施者は北朝鮮のアクターCitrine Sleetだとみられるという。Citrine SleetはLazarus Groupのサブグループの1つとされる。

CVE-2024-7971は型の取り違えの脆弱性で、Chromiumのサンドボックス化されたレンダラープロセスにおいて、脅威アクターがリモートコード実行(RCE)を行えるようになる恐れがあるもの。なお、パッチは先月21日にリリースされている。

マイクロソフトが観測した攻撃において、攻撃者はこの脆弱性のRCEエクスプロイトを用いてコード実行を行い、Windowsのサンドボックスのエスケープを許す欠陥(CVE-2024-38106)のエクスプロイトと、FudModuleを含むシェルコードをダウンロードしたという。そしてサンドボックスのエスケープが成功したのち、同ルートキットが実行されていた。

FudModuleは管理者からカーネルへ、Windowsベースのシステムへのアクセスを確立するもので、読み取り/書き込みに関わるプリミティブ関数の実行を可能にし、カーネルオブジェクトの直接操作を実行するために使われる。

これまでのところ、このキャンペーンの規模やターゲットは明らかになっていない。被害者はおそらくソーシャルエンジニアリングの手法によって「voyagorclub[.]space」という名の有害サイトに誘導され、その後同脆弱性のエクスプロイトが誘発されたと言われている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ