北朝鮮のハッカー集団がMicrosoft IEのゼロデイを悪用(CVE-2024-38178) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮のハッカー集団がMicrosoft IEのゼロデイを悪用(CVE-2024-38178)

Threat Report

APT37

Microsoft

Silobreaker-CyberAlert

北朝鮮のハッカー集団がMicrosoft IEのゼロデイを悪用(CVE-2024-38178)

Yoshida

Yoshida

2024.10.17

10月17日:サイバーセキュリティ関連ニュース

北朝鮮のハッカー集団、「Operation Code on Toast」でゼロデイ欠陥を悪用(CVE-2024-38178)

Securityonline[.]info – October 16, 2024

北朝鮮のハッカー集団が、Microsoft Internet Explorer(IE)の新たなゼロデイ脆弱性を悪用しているという。韓国のAhnLab Security Emergency response Center(ASEC)と英国家サイバーセキュリティセンター(NCSC)が共同で発表したレポートにより明らかとなった。

この攻撃の首謀者とされるのは、TA-RedAnt。RedEyes、ScarCruft、APT37としても知られ、過去には北朝鮮からの脱北者や同国関連の業務に携わる個人をターゲットにしていた。今回見つかったキャンペーンでは、トースト通知タイプの広告プログラムを用いるシステムを侵害するために、IEのゼロデイCVE-2024-38178を悪用しているという。なおCVE-2024-38178は型の取り違えの脆弱性で、IEのJavaScriptエンジン(jscript9.dll)の最適化処理中に、あるデータが別の種類のデータとして誤って処理されることで発生する。

「Operation Code on Toast」と名付けられたこのキャンペーンにおいて、攻撃者は韓国のオンライン広告代理店のサーバーを侵害した上で、広告コンテンツのスクリプトに有害コードを注入。トースト型広告プログラムを通じてそれを標的のマシン上でダウンロード・レンダリングさせていたという。この攻撃は、ユーザー操作を必要としない「ゼロクリック攻撃」とのこと。

多くのトースト型広告プログラムがIEベースのWebViewを使ってWebコンテンツを表示していることが、この攻撃を可能にする要因。また多くのレガシーアプリケーションが2022年6月にサポートが終了したIEにまだ依存していることから、このような攻撃の影響を受けやすくなっているという。

この状況を踏まえ、AhnLabとNCSCから報告を受けたマイクロソフトは今年8月13日に同脆弱性のパッチをリリースした。組織やユーザーは特に注意を払い、システムを最新の状態に更新する必要がある。

National Public Dataを侵害したとされるUSDoDのハッカー、ブラジルで逮捕される

BleepingComputer – October 16, 2024

National Public DataやInfraGardへのデータ侵害に関与したとされる悪名高きハッカーUSDoDが、ブラジルで逮捕された。

USDoD(別名:EquationCorp)は長年にわたって注目度の高いデータ侵害に関与しており、データを盗んだ後、被害者を嘲笑しながらハッキングフォーラムに情報をリークすることで知られている。

しかし、今年7月にCrowdStrikeのIoCリストのリークがアナウンスされた後に状況は一変した。8月にはブラジルのメディアTechmundoが、CrowdStrikeから受け取ったレポートに関する記事を公開。このレポートから、同脅威アクターの正体はLuan・B.G.という33歳の男性だということが明らかになったと報じた。その後、USDoDはHackReadの取材に対し、CrowdStrikeの情報が正確であることを認め、自身はブラジル在住だと述べている。

この情報に助けられたのか、ブラジル連邦警察(Polícia Federal:PF)は16日、PFおよびその他の国際機関のシステムへの侵入行為について調査することを目的として捜査作戦「Operation Data Breach」を開始。同国のベロオリゾンテ/MGで彼を逮捕したと発表した。

ランサムウェアレポート無料配布中!

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ