Google: 求職者や仮想通貨企業を狙ったハッカーを阻止しました

Googleは、Chromeのゼロデイバグを利用して北朝鮮のハッカー集団を1つではなく2つ阻止する取り組みについて詳しく説明した。

Googleは2月にこのバグにパッチを当てたが、その1か月前から悪用されていた。 当時Googleはこう言っていました 報道は知っていました ハッカーが Chrome のバグ CVE-2022-0609 を悪用していたということです。 米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) 2月に連邦政府機関にChromeのバグにパッチを当てるよう義務付けた. Googleの脅威アナリストグループ（TAG）によると、このエクスプロイトキットは2022年1月4日から活発に展開されていたという。

Google によると、このエクスプロイトを使用していた北朝鮮のハッキング グループは、北朝鮮の Lazarus と関係があるとのことです。 ソニー・ピクチャーズのハッキングと国際銀行メッセージングSWIFTへの攻撃による大規模窃盗の両方で告発されたハッカー集団 システム。

見る： ハッカーが高額な報酬を得ているため、この卑劣なタイプのフィッシングは急速に増加しています

これらのグループの研究は、他のサイバーセキュリティ企業の研究者によって次のように参照されています。 ドリームジョブ作戦 そして アップルジース作戦.

「これらのグループはサプライチェーンを共有する同じ組織で活動しており、したがって同じエクスプロイトキットを使用しているのではないかと考えられますが、それぞれが異なるミッションセットで活動し、異なる手法を展開しています。 北朝鮮政府が支援する他の攻撃者が同じエクスプロイト キットにアクセスできる可能性があります。」 TAGのアダム・ワイドマン氏はブログ投稿でこう述べた。.

「現在の開示ポリシーに従って、パッチのリリースから 30 日後にこれらの詳細を提供します。」 

攻撃者は、複数の段階とコンポーネントを含むエクスプロイト キットを利用しました。 セキュリティ研究者らによると、攻撃者は隠しiframe内にエクスプロイトキットへのリンクを配置し、所有するWebサイトと侵害した一部のWebサイトの両方に埋め込んだ。

Googleによると、このグループはニュースメディア、テクノロジー、仮想通貨、フィンテック分野の米国組織を標的にしているという。 他国の組織も標的にされた可能性があると指摘している。

Google によると、グループの 1 つは報道機関、ドメイン登録業者、組織など 10 組織の 250 名を標的にしていました。 ウェブホスティングプロバイダーやソフトウェアベンダーが、Disney、Google、その他の採用担当者になりすました電子メールで偽の求人情報を送信 オラクル。 メールには、技術系人材の採用に米国で使用されている 2 つの人気サイトである Indeed と ZipRecruiter のなりすましバージョンへのリンクが含まれていました。

ブロックチェーン分析会社チェイナリシス Lazarusに関連する北朝鮮のハッカーが2021年に約4億ドル相当の仮想通貨を盗んだと推定. 2018年の国連専門家パネル 結論付けた その暗号通貨ハッキングが北朝鮮の弾道ミサイル計画に寄与したと主張した。

Googleによると、もう1つのグループは同じエクスプロイトキットを使用して、仮想通貨業界とフィンテック業界の85人以上のユーザーを標的にしたという。

これらが発見されると、ユーザーをさらなる攻撃から保護するために、特定されたすべての Web サイトとドメインが Google のセーフ ブラウジング サービスに追加されました。 また、Google は、対象となったすべての Gmail および Workspace ユーザーに対して、政府支援による攻撃者アラートを送信して、次のことを通知しました。 活動。

マンディアント Googleが54億ドルで買収も今週、北朝鮮のハッキングに関する新たな報告書を発表した。 北朝鮮はこうだと言っている 中国の戦略を借用する 政府内で活動するハッカーグループを囲い込むこと。

Mandiant は、Lazarus に関連するハッカー グループを Lab 110、TEMP.Hermit、APT38、Andariel、Bureau 325 として特定しています。 彼らは北朝鮮の対外情報機関である偵察総局の下で活動している。 作戦、偵察、外国情報、韓国との関係、技術、 そしてサポートします。

各グループは、さまざまな業界をターゲットにし、地政学的な出来事に関する情報を組織から収集したり、暗号通貨の盗難を通じて収益を上げたりすることに特化しています。

「TEMP.Hermit、APT38、Andariel はおそらく以下に従属します。 ラボ110. Lab 110 は、おそらく「」を拡張して再構成したものです。局121," マンディアントの研究者らはこう語った。.

「この国のスパイ活動は、政権の差し迫った懸念と優先事項を反映していると考えられており、政権は現在、資金調達を通じて資金を獲得することに重点を置いている可能性が高い」 暗号通貨強盗、メディア、ニュース、政治団体の標的化、外交関係や核情報に関する情報、一時は急増した新型コロナウイルス感染症ワクチンの盗難はわずかに減少 研究。 これらのキャンペーンで収集された情報は、社内アイテムの開発または生産に使用される可能性があります。 ワクチンなどの戦略、制裁を回避するための緩和策、国の兵器計画への資金提供、 すぐ。"