北朝鮮のハッカーがChromeのゼロデイ攻撃を悪用して、フィンテック、IT、メディア企業を標的にした

「このエクスプロイトキットが積極的に展開されていることを示す最も早い証拠は、2022年1月4日です」とGoogleTAGの研究者であるAdamWeidemannはレポートで述べています。
偽の求人情報の使用は、北朝鮮の国民国家グループの長年の戦術であり、今年1月の初めに、米国の世界的なセキュリティおよび航空宇宙企業であるロッキードマーティンになりすまして、航空宇宙で仕事を探している個人を標的とするマルウェアペイロードを配布することが判明しました。
同じChromeのゼロデイ攻撃を利用したと考えられる2番目のアクティビティクラスターは、85人以上のユーザーにエクスプロイトを提供するために少なくとも2つの正当なフィンテック企業のWebサイトを侵害したOperationAppleJeusに関連しています。
Google TAGによると、エクスプロイトキットは、侵害されたWebサイトとその制御下にある不正なWebサイトの両方で、隠されたインターネットフレーム内に攻撃コードを埋め込むことを含む多段階の感染チェーンとして作られています。
2月10日に侵入を発見したGoogleTAGは、「最初のRCEに続く段階のいずれも回復できなかった」と指摘し、攻撃者がAES暗号化の使用を含むいくつかのセーフガードを使用したことを強調しました。
調査結果は、脅威インテリジェンス企業のマンディアントが、さまざまなラザロのサブグループを、朝鮮人民軍総局（RGB）、統一戦線部（UFD）、国家安全保障省（MSS）などの北朝鮮のさまざまな政府組織にマッピングしたことから得られました。